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Woord vooraf 


De digitalisering van de maatschappij heeft de mogelijkheden tot het vergaren van 
persoonsgegevens door de politie aanzienlijk doen toenemen. Door inbeslagname 
of het hacken van geautomatiseerde werken of grote digitale-gegevensdragers 
komt informatie steeds vaker in bulk bij de politie terecht en ook kunnen gegevens 
thans in toenemende mate met elkaar worden gecombineerd dankzij geavanceerde 
technologieën om zodoende nieuwe informatie te ontsluiten. De Nederlandse wet- 
gever ziet zich geconfronteerd met nieuwe vragen omtrent de normering van het 
onderzoeken van gegevens ten behoeve van de opsporing. Met deze verkennende 
studie beogen wij de wettelijke waarborgen bij strafvorderlijke vergaring van ge- 
gevens in samenhang te bezien met waarborgen die gelden voor de daaropvol- 
gende (verdere) verwerking van die gegevens. Daartoe inventariseren we in dit 
onderzoek welke eisen en waarborgen het Europese recht stelt aan de normering 
van de (verdere) verwerking van gegevens voor strafvorderlijke doeleinden. 
Voorts putten we bij het onderzoek inspiratie uit ervaringen met de Wiv 2017 en 
het recht in België, Duitsland en Noorwegen, wat handvatten biedt om de wijze 
van normeren en de inrichting van een wettelijke regeling nader te doordenken. 

Dit onderzoek is verricht in opdracht van het Wetenschappelijk Onder- 
zoeks- en Documentatiecentrum (WODC) binnen de gelederen van de vaksectie 
Strafrecht & Criminologie, verbonden aan het Onderzoekscentrum Staat en Recht 
(SteR) en Interdisciplinary Research Hub on Digitalisation and Society (iHub) aan 
de Radboud Universiteit. 

Zonder de bijstand van anderen hadden wij dit onderzoek niet kunnen 
uitvoeren. Onze dank gaat allereerst uit naar alle experts die tijd hebben gevonden 
om hun ervaringen te delen en met ons van gedachten te wisselen. Prof. Bart Ja- 
cobs, prof. Piet Hein van Kempen en prof. Frederik Zuiderveen Borgesius bedan- 
ken wij voor het secuur en kritisch doorlezen van delen van het rapport. Bijzonder 
erkentelijk zijn wij student-assistent Noah Koch voor alle werkzaamheden — o.a. 
bronnenonderzoek, notuleren, transcriberen van interviews, bronnenlijst samen- 
stellen, voetnotenapparaat ordenen — die hij in het kader van dit onderzoek heeft 
verricht. Onze dank gaat voorts uit naar Joske Wein, die als student-assistent be- 
trokken was bij het verzamelen van met name de Duitstalige bronnen en collega 


Ruben Aksay voor het meekijken met Noorse bronnen. 


VIII Woord vooraf 


Onze dank gaat ten slotte ook uit naar de leden van de begeleidingscommissie, 
bestaande uit voorzitter prof. mr. Göran Sluiter (Universiteit van Amsterdam); mr. 
Willemien de Jongste (WODC); prof. mr. Jan-Jaap Oerlemans (Universiteit Utrecht; 
CTIVD); dr. Bart van der Sloot (Tilburg University); mr. drs. Jacob Struyker Bou- 
dier (Ministerie van Justitie en Veiligheid). De kritische reflectie van en discussie 
met de commissie alsmede het commentaar van de commissieleden op concept- 
versies van dit onderzoeksrapport hebben een waardevolle bijdrage daaraan gele- 
verd. 

Dit onderzoek is afgerond op 15 juli 2022; de in voetnoten vermelde web- 


sites waren op die datum toegankelijk. 


Masha Fedorova, Ruben te Molder, Marieke Dubelaar, Sjarai Lestrade en 
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Nijmegen, september 2022 
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1 Inleiding 


Deze studie is gericht op het onderzoeken van gegevens ten behoeve van de op- 
sporing en heeft als centrale vraag welke eisen voortvloeien uit internationale re- 
gelgeving voor de normering van gegevensverwerking en op welke wijze een wet- 
telijke regeling ter zake kan worden ingericht. Daarbij ligt de focus op verwer- 
kingshandelingen bestaande uit het doen van onderzoek aan reeds verzamelde 
strafvorderlijke gegevens dan wel gegevens die in de verschillende politiesys- 
temen aanwezig zijn.! Aanleiding voor deze studie vormen de plannen van de wet- 
gever om de huidige wettelijke regeling aan te passen en bevoegdheden ter gege- 
vensverwerking die thans zijn gelegen in het Wetboek van Strafvordering (WvSv) 
en de Wet politiegegevens (Wpg) te herschikken en waar nodig aan te passen. Om 
de wijze van normeren nader te doordenken, is bovendien gekeken naar de erva- 
ringen met de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) 
waarin bevoegdheden ter vergaring en (verdere) verwerking in één wet zijn gere- 
geld. Voorts is een verkennende studie verricht in een aantal naburige landen om 
te bezien op welke wijze de eisen die voortvloeien uit het Europese en internatio- 
nale recht aldaar zijn vertaald naar de wettelijke regelingen en hoe deze regelingen 
zijn ingericht. 


1.1 ACHTERGROND EN AANLEIDING 
1.1.1 Vergaren versus verwerken 


Het vergaren van gegevens ten behoeve van het ophelderen van strafbare feiten 
vormt van oudsher een belangrijk onderdeel van het takenpakket van de politie.” 
Deze gegevens kunnen door middel van uiteenlopende opsporingsmethoden wor- 
den verzameld. Door de digitalisering van de maatschappij zijn de mogelijkheden 
tot het vergaren van persoonsgegevens verder toegenomen. In het kader van de 
lopende wetgevingsoperatie inzake de modernisering van het WvSv is uitvoerig 
gediscussieerd over de vraag hoe de bevoegdheden tot het vergaren van 


1 Zie voor een nadere terminologische duiding paragraaf 1.4. 
Onder persoonsgegevens verstaan wij conform art. 1 onder b Wpg alle informatie over 
een geidentificeerd of een identificeerbare natuurlijke persoon. Voor het leesgemak dui- 
den wij persoonsgegevens ook wel aan als gegevens. 
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(persoons)gegevens wettelijk moeten worden genormeerd. De vergaring van deze 
gegevens vormt immers snel een inbreuk op het recht op privacy en als dat het 
geval is, moet hiervoor een wettelijke basis bestaan met voldoende waarborgen 
tegen misbruik. Thans ligt er een conceptvoorstel voor een nieuw WvSv met daarin 
een aantal nieuwe bevoegdheden ter vergaring van (persoons)gegevens. 

Een onderwerp dat binnen de strafvorderlijke context vooralsnog minder 
aandacht heeft gekregen, betreft de verwerking van de reeds vergaarde (per- 
soons)gegevens. In de praktijk vergaren de opsporingsautoriteiten niet alleen ge- 
gevens, zij nemen deze gegevens ook regelmatig over in de politiesystemen om 
deze later al dan niet met behulp van geavanceerde data science technieken te door- 
zoeken, te ordenen, te analyseren of in verband te brengen met andere gegevens. 
Alle handelingen die met gegevens worden verricht nadat deze zijn vergaard, wor- 
den binnen strafvordering niet meer gerekend tot de ‘vergaring’, maar aangeduid 
als de ‘verwerking’ van gegevens.” Zeker in de huidige gedigitaliseerde maat- 
schappij waarin steeds meer gegevens en geavanceerde data-analyse technolo- 
gieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens 
die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zo- 
doende een min of meer volledig beeld van iemands privéleven te krijgen. 

Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt 
waarin nadere zoekacties kunnen worden uitgevoerd, zonder dat er op het mo- 
ment van verkrijging reeds van een op het individu of een groep toegesneden ver- 
denking sprake hoeft te zijn. Zo heeft de politie recent toegang gekregen tot mil- 
joenen heimelijke berichten die op verschillende servers — zoals die van Ennetcom, 
PGPSafe, EncroChat en Sky Global — waren opgeslagen, op basis waarvan reeds 
honderden verdachten zijn aangehouden. Met name voor grote hoeveelheden, in 
bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel 
zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, 
visualiseert of in verband brengt met andere gegevens. Daarmee verplaatst het 
zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring 


van gegevens veeleer naar de (verdere) verwerking van die gegevens. 


1.1.2 Gebrekkige wettelijke normering 


Hoewel de verwerking van persoonsgegevens door de recente ontwikkelingen na- 


drukkelijker dan voorheen onderdeel is geworden van het politieke en 


3 Zie in deze zin onder meer Rapport Commissie Koops 2018; Schermer 2017. 
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wetenschappelijke debatt, is de bestaande wettelijke regeling nog niet aangepast 
aan deze nieuwe realiteit, waarbij 1) in toenemende mate gegevens met elkaar wor- 
den gecombineerd via geavanceerde technieken en 2) informatie steeds vaker in 
bulk bij de politie terechtkomt door inbeslagname van grote gegevensdragers; door 
het hacken van servers of door systematische observatie/registratie zoals het geval 
is bij de inzet van ANPR (automatic number plate recognition, automatische kente- 
kenplaatherkenning). Dat laatste leidt tot allerlei vragen in de praktijk ten aanzien 
van het verwerken van de vergaarde informatie. Zo is in eerdergenoemde zaken 
er steeds voor gekozen om de rechter-commissaris — “mogelijk zelfs ten over- 
vloede” of als “extra waarborg” — in te schakelen voor het nader vastleggen van 
kaders voor het benutten van de vergaarde datasets.” Daarbij heeft de rechter-com- 
missaris bepaald op welke wijze de gegevens mogen worden geanalyseerd (onder 
meer de mogelijke zoeksleutels en de bescherming van het verschoningsrecht en 
de verifieerbaarheid en reproduceerbaarheid van gegevens) en onder welke voor- 
waarden gegevens ter beschikking mogen worden gesteld voor andere opspo- 
ringsonderzoeken (steeds niet anders dan na voorafgaande toestemming van de 
rechter-commissaris).* De wet voorziet hier echter niet in In dit verband rijst dan 
ook de vraag of hiervoor een wettelijke regeling moet komen. 

De regels die er wel zijn voor wat betreft de verwerking zijn thans ook 
over verschillende wetten verspreid. Zo is in het WvSv primair de vergaring ten 
behoeve van lopend onderzoek geregeld, maar zijn er ook enkele verwerkingsbe- 
palingen opgenomen, terwijl de Wpg juist in teken staat van de (verdere) verwer- 


king, maar daarin onder omstandigheden ook een grondslag wordt gevonden voor 


4 Zie onder meer Rapport Commissie Koops 2018, p. 25-48; Schermer 2017, p. 207-216; Stevens 
e.a. 2021, p. 234-245; Dubelaar, Fedorova & Te Molder 2021, p. 53-81. 

5 Zie bv. Rb. Midden-Nederland 17 juni 2021, ECLENL:RBMNE:2021:2570 en Rb. Amster- 
dam 3 juli 2021, ECLENL:BRAMS:2021:3825. 

6 Zie bijvoorbeeld zaken in het zogeheten Tandem-onderzoek waarin miljoenen versleu- 
telde berichten die zich in Canada bevonden in beslag zijn genomen: Rb. Amsterdam 19 
april 2018, ECLI:NL:RBAMS:2018:2504; Rb. Amsterdam 7 december 2018, ECLI:NL: 
RBAMS:2018:8698; Rb. Rotterdam 9 juni 2020, ECLI:NL:RBROT:2020:11875 en enkele za- 
ken waarin met behulp van de Franse autoriteiten servers van Encrochat zijn gehackt: 
Rb. Oost-Brabant 25 maart 2021, ECLI:NL:RBOBR:2021:1272; Rb. Oost-Brabant 8 juli 2021, 
ECLI:NL:RBOBR:2021:3249; Rb. Midden-Nederland 17 juni 2021, 
ECLI:NL:RBMNE:2021:2570; Rb. Amsterdam 14 september 2021, 
ECLI:NL:RBAMS:2021:5460. Met betrekking tot Sky Global (Sky ECC) zie bv. Rb. Mid- 
den-Nederland 17 juni 2021, ECLI:NL:RBMNE: 2021:2570. Zie ook Dubelaar, Fedorova & 
Te Molder 2021, p. 73-74. 

7 Hetter beschikking stellen van gegevens aan andere onderzoeken is thans geregeld in 
art. 126dd WvSv en deze bepaling bevat als eis dat een Officier van Justitie hier toestem- 
ming voor moet geven. 
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het doen van nader onderzoek. In de Wet justitiële en strafvorderlijke gegevens 
(Wjsg) is de verwerking van persoonsgegevens door andere autoriteiten zoals het 
Openbaar Ministerie geregeld. Bij aanvang van dit onderzoek had de wetgever het 
plan opgevat om een nieuwe gegevensverwerkingswet te ontwerpen die de hui- 
dige Wpg en de Wjsg zou incorporeren. Daarbij zouden de huidige artikelen 
126cc-dd WvSv die gaan over de (verdere) verwerking voor wat betreft enkele bij- 
zondere opsporingsbevoegdheden in het gemoderniseerde WvSv komen te verval- 
len. De gedachte daarbij was dat de vergaring van gegevens het beste in het WvSv 
zou kunnen worden geregeld en de verwerking ervan in de nieuwe gegevensver- 
werkingswet. De vraag is evenwel of beide activiteiten zich wel op deze wijze laten 
scheiden en wat de mogelijke implicaties zijn van een dergelijke separate norme- 
ring. Inmiddels is duidelijk geworden dat er (op korte termijn) geen geheel nieuwe 
gegevensverwerkingswet gaat komen. Maar de vraag naar wat nu waar moet wor- 
den geregeld is nog wel aan de orde, nu in het voorstel voor het gemoderniseerde 
WvSv thans niets is geregeld omtrent de verdere verwerking van gegevens. 


1.13 Inrichting nieuwe regeling 


Bij het nader vormgeven van een nieuwe regeling of het aanpassen van de be- 
staande regelingen in het WvSv en de Wpg doet zich in elk geval een aantal com- 
plicaties voor. De eerste complicatie is gelegen in het samenkomen van twee rechts- 
gebieden, te weten strafvordering en gegevensbeschermingsrecht die op andere 
principes en beginselen zijn gestoeld. Hierbij is van belang dat in het WvSv op een 
andere manier invulling wordt gegeven aan rechtsbescherming dan de huidige 
Wet politiegegevens. Waar het in strafvordering gaat om het identificeren en be- 
straffen van de werkelijk schuldige aan een strafbare gedraging (en het vrijwaren 
van de onschuldige), is de verwerking van (vooralsnog) de politiegegevens voor- 
namelijk ingegeven door het stroomlijnen van de gegevenshuishouding van het 
justitiële apparaat in het kader van een fatsoenlijke bescherming van de (individu- 
ele) privacybelangen. 

Een tweede complicatie die met het voorgaande samenhangt, is dat er 
veel onduidelijkheid bestaat over de eisen en waarborgen die in Europees verband 
worden gesteld aan verwerking van persoonsgegevens. Dat speelt vooral bij gege- 
vens die in bulk zijn verkregen of reeds in politiesystemen liggen opgeslagen, waar 
de jurisprudentie de ontwikkelingen in de praktijk volgt. De jurisprudentie van het 
EHRM en het Hof van Justitie EU op dit thema ontwikkelt zich in rap tempo, 


8 Memorie van Toelichting (ambtelijke versie 2020), p. 228. Zie voorts over het voornemen 
de Wpg en de Wjsg samen te voegen: Kamerstukken II 2013/14, 33 842, nr. 2, p. 3. 
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waarbij een systematisch overzicht van de geldende eisen en beperkingen ont- 
breekt. Ook over de eisen die voortvloeien uit de EU Richtlijn 2016/680 bestaat on- 
duidelijkheid.” Zo kent de richtlijn veel open begrippen die in het kader van op- 
sporing nadere uitwerking behoeven en waarvan niet op voorhand duidelijk is op 
welke wijze een en ander zijn beslag moet krijgen in een wettelijke regeling. 

Samenvattend kan worden gesteld dat zowel ten aanzien van de inhoud 
van de normering (de toepasselijke eisen en waarborgen inzake het gebruik van 
gegevens) als voor wat betreft de wijze van normering (hoe kan dit op een inzich- 
telijke wijze worden geregeld?) de nodige vragen zich opwerpen. Deze vragen zijn 
niet uniek voor de strafvorderlijke context, ze komen ook terug in de context van 
het inlichtingenwerk dat zijn wettelijke basis vindt in de Wiv 2017. Daarom zal 
eveneens naar inzichten op basis van de ontwikkeling van deze wetgeving worden 
gekeken. Tevens is Nederland niet het enige land dat zich met deze nieuwe realiteit 
en de daaruit voortvloeiende vragen geconfronteerd ziet, hetgeen reden vormt een 
blik over de grens te werpen om te bezien hoe deze thematiek elders geregeld is 
dan wel opgepakt wordt. Welke keuzes worden gemaakt en wat zijn mogelijke 
implicaties voor de rechtsbescherming? 


1.2 VRAAGSTELLING 


Het voorgaande leidt tot de volgende onderzoeksvragen. 


1. Waar liggen de juridische knelpunten in het huidige wettelijke kader ter zake 
van het doen van onderzoek aan vergaarde (persoons)gegevens voor strafvor- 
derlijke doeleinden? 

2. Welke eisen en waarborgen stellen relevante Europeesrechtelijke rechtsbron- 
nen aan de normering van het verwerken van (persoons)gegevens voor straf- 
vorderlijke doeleinden? 

3. Welke voor deze normering relevante gezichtspunten kunnen worden ont- 


leend aan de Wiv 2017 en het recht in België, Duitsland en Noorwegen? 


De eerste onderzoeksvraag betreft het in kaart brengen van het huidige wettelijke 
kader en het nader exploreren van de knelpunten zoals die onder meer door re- 
cente ontwikkelingen aan het licht zijn gekomen. Vervolgens wordt bij de tweede 
onderzoeksvraag geanalyseerd welke eisen het Europese recht stelt ten aanzien 


9 Zie onder meer Stevens e.a. 2021, p. 240; Winter e.a. 2020, p. 23. 
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van het normeren van strafrechtelijk onderzoek aan reeds verzamelde gegevens. 
De Nederlandse regeling moet immers aan de internationale standaarden voldoen. 
De focus ligt primair bij Europeesrechtelijk rechtsbronnen. Deze bronnen geven 
overigens vooral richting ten aanzien van de inhoud van de normering en niet zo 
zeer de vorm of de wijze waarop de regeling wordt ingericht. Inspiratie ten aanzien 
van de inhoud én de wijze waarop een regeling kan worden vormgegeven wordt 
voorts opgedaan door kennis te nemen van de inzichten die zijn verkregen bij de 
ontwikkeling van de Wiv 2017 en het recht in naburige landen, zoals dat tot uit- 
drukking komt in de derde onderzoeksvraag. De Wiv 2017 en het recht in naburige 
landen bieden weliswaar geen normatieve aanknopingspunten of richtsnoeren, 
maar er kunnen mogelijk wel lessen worden getrokken uit de wijze waarop in an- 
dere contexten en in andere landen met de geconstateerde knelpunten wordt om- 
gegaan en hoe de regelingen vervolgens zijn ingericht. Deze verkenning dient dan 


ook vooral ter inspiratie en reflectie. 


13 FOCUS EN AFBAKENING 


De kern van dit onderzoek ziet op onderzoek van gegevens voor strafvorderlijke 
doeleinden. De term onderzoek wordt hierbij als overkoepelende term gebezigd 
voor allerlei handelingen met betrekking tot reeds vergaarde gegevens ter realise- 
ring van strafvorderlijke doelen (waarheidsvinding of opbouwen van een informa- 
tiepositie). Onderzoek van gegevens omvat dan ook verschillende handelingen. 
Vanuit analytisch oogpunt is het nuttig om onderscheid te maken tussen twee ver- 


schillende vormen van onderzoek. 


1) Onderzoek met als doel om gegevens te ontsluiten voor de opsporing 

Een opsporingsbevoegdheid wordt ingezet om informatie te vergaren die kan wor- 
den gebruikt voor het proces van waarheidsvinding tijdens de opsporing of tijdens 
de zitting. Soms is direct gebruik van de gegevens niet mogelijk, omdat een opspo- 
ringsbevoegdheid zodanig veel gegevens oplevert dat eerst nader moet worden 
onderzocht wat de gegevens inhouden. In deze gevallen moet dus onderzoek 
plaatsvinden voordat de vergaarde gegevens daadwerkelijk voor operationele 
doeleinden kunnen worden benut. 


2) Onderzoek met als doel het opbouwen van een informatiepositie — los van een concreet 
opsporingsonderzoek 
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In sommige gevallen zullen de opsporingsautoriteiten reeds vergaarde informatie 
ook willen onderzoeken om — los van concrete opsporingsonderzoeken — een in- 
formatiepositie op te bouwen. Zo kan het bijvoorbeeld nuttig zijn om gegevens die 
in de systemen van de politie aanwezig zijn bij elkaar te brengen om zo informa- 
tieproducten te genereren, bijvoorbeeld om nader inzicht te krijgen in de omvang 
van een crimineel samenwerkingsverband. 

In deze focusbepaling ligt een aantal belangrijke afbakeningen besloten. Dit 
onderzoek is niet in de eerste plaats gericht op de daadwerkelijke vergaring van 
gegevens en de wijze waarop dat is genormeerd.'° Het accent ligt op de fase daarna. 
In de tweede plaats betreft dit onderzoek het gebruik van gegevens voor strafvor- 
derlijke doeleinden. Dit houdt in dat het onderzoek gericht moet zijn op het aan het 
licht brengen van strafbare feiten, ook al bestaat nog geen concreet zicht op deze 
feiten. Het begrip strafvorderlijke doeleinden is breder dan het vergaren van bewijs 
of de opsporing van reeds begane strafbare feiten. De politie is immers de afgelo- 
pen decennia steeds pro-actiever gaan werken; het optreden is in toenemende mate 
gericht op het in kaart brengen en doorgronden van criminele netwerken en orga- 
nisaties die wellicht strafbare feiten plegen of zullen gaan plegen! Ook het opbou- 
wen van een informatiepositie met als doel om zicht te krijgen op reeds gepleegde 
of nog te plegen strafbare feiten, rekent de politie tot haar taak.!* Het gebruik van 
gegevens voor buiten strafvordering gelegen doelen zoals de handhaving van de 
openbare orde valt hiermee buiten het bereik van dit onderzoek. In de derde plaats 
ligt de nadruk op specifieke verwerkingshandelingen gericht op kennisvermeer- 
dering. Daarbij valt te denken aan het combineren of verrijken van gegevens. An- 
ders gezegd: het onderzoek is gericht op verwerkingshandelingen die moeten bij- 
dragen aan het versterken van de informatiepositie van de politie in het algemeen, 
dan wel het ophelderen en bewijzen van concrete strafbare feiten in het bijzonder. 
Meer ‘klassieke’ verwerkingshandelingen zoals de regels inzake het opslaan van 


10 De vergaring van gegevens is geregeld in het WvSv en de Polw. 2012. 

11 Dit komt onder meer tot uitdrukking in de mogelijkheid tot het verrichten van een ver- 
kennend onderzoek op grond van art. 126gg WvSv waarmee de politie probeert zicht te 
krijgen op sectoren van de samenleving waarbinnen misdrijven worden beraamd of ge- 
pleegd en in de mogelijkheden die het WvSv biedt om informatie te vergaren zonder dat 
reeds sprake is van een verdenking van een concreet strafbaar feit (bijvoorbeeld bij aan- 
wijzingen van terrorisme). Daar komt bij dat de politie ook inlichtingen verzamelt op 
basis van de algemene taakstelling zoals neergelegd in art. 3 Polw. 2012. Zie voorts Van 
den Eeden e.a. 2021, p. 84 waar wordt geconstateerd dat de politie in relatie tot cybercri- 
minaliteit zich ook meer wil toeleggen op het opbouwen van een informatiepositie. 

12 De politie gaat daarin dus minder reactief te werken dan vroeger. Zij gaat zelf actief op 
zoek naar organisaties en groepen waarbinnen mogelijk strafbare feiten worden ge- 
pleegd of beraamd. 
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gegevens van een getuige, het gebruik van vingerafdrukken of gegevens afkomstig 
van DNA-onderzoek vallen (grotendeels) buiten het bestek van deze studie.' Bij 
de variëteit van verwerkingshandelingen en het brede verwerkingsbegrip wordt 
hieronder nader stilgestaan. 


14 TERMINOLOGIE 


Verwerkingshandelingen 

Uit het voorgaande wordt duidelijk dat de focus ligt op het verrichten van onder- 
zoek aan reeds vergaarde gegevens. Het proces van vergaring en de daaraan ver- 
bonden wettelijke en jurisprudentiële waarborgen is dus niet zelfstandig object van 
onderzoek, maar wordt uitsluitend bezien in relatie tot het proces van (verdere) 
verwerking van die gegevens. Terminologisch ligt daar evenwel een complicatie. 
Vanuit gegevensbeschermingsrechtelijk oogpunt kan het onderscheid tussen ver- 
garing en verwerking tot verwarring leiden, nu het vergaren of verzamelen van 
gegevens binnen de Wpg wordt gezien als een vorm van verwerking. In de Wpg 
wordt namelijk onder de verwerking van gegevens simpelweg elke handeling ver- 
staan die met gegevens kan worden verricht.“ Als voorbeelden van verwerkings- 
handelingen worden in artikel 1 onder c Wpg genoemd ‘het verzamelen, vastleg- 
gen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, 
gebruiken, verstrekken door middel van doorzending, verspreiden of op andere 
wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, af- 
schermen of vernietigen van politiegegevens’. De Wpg gaat dus uit van een breed 
verwerkingsbegrip. Vanuit die terminologie bezien betreft dit onderzoek in feite 
de verdere verwerking van gegevens. Om terminologische verwarring zoveel mo- 
gelijk te vermijden zal in het vervolg van deze studie met de term verwerking in 
beginsel worden verwezen naar het bredere concept. Gaat het om (alle) handelin- 
gen die op de vergaring volgen, dan wordt gesproken van het gebruik of verdere 
verwerking van gegevens. Dit onderzoek gaat echter specifiek over het uitvoeren 
van onderzoek aan reeds vergaarde gegevens voor strafvorderlijke doelen, hetgeen 


meerdere verwerkingshandelingen kan omvatten. 


13 Termijnen voor opslag en dergelijke komen alleen aan de orde voor zover rechtstreeks 
relevant voor de operationele praktijk. 

14 Een dergelijk breed verwerkingsbegrip is ook terug te vinden in art. 4 lid 2 AVG en in 
art. 1 onder f Wiv 2017. 
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Gegevens 

Ook het begrip gegevens vraagt om nadere toelichting, mede in relatie tot de focus 
van dit onderzoek. Er is veel variëteit in gegevens die ten behoeve van de opspo- 
ring worden verzameld en verder verwerkt. In dit onderzoek richten wij ons pri- 
mair op persoonsgegevens waarbij de definitie uit de Wpg wordt aangehouden. 
Het gaat om gegevens die betrekking hebben op identificeerbare of geïdentifi- 
ceerde, individuele natuurlijke personen.'5 Niet-persoonsgegevens zoals bijvoor- 
beeld informatie over een plaats-delict vallen daarmee buiten het bereik van dit 
onderzoek. In dit rapport zullen wij de begrippen gegevens en persoonsgegevens 
als synoniemen hanteren. De keuze voor de focus op persoonsgegevens is ingege- 
ven doordat juist voor dit type gegevens nadere waarborgen noodzakelijk zijn in 
het licht van het recht op bescherming van persoonsgegevens en het recht op pri- 
vacy. Tegelijk constateren wij dat de definitie van persoonsgegevens nauwelijks 
bijdraagt aan de afbakening van dit onderzoek. In het kader van de opsporing ver- 
zamelen en verwerken de opsporingsautoriteiten nu eenmaal een groot aantal zeer 
verschillende soorten persoonsgegevens van verschillende typen personen (ver- 
dachten, getuigen, aangevers). Een bijzonder punt van aandacht in dit onderzoek 
vormen zogenaamde bulkgegevens, waartoe dit onderzoek overigens niet is be- 
perkt. Onder bulkgegevens worden in dit onderzoek gegevens verstaan die zich 
bevinden in bulkdatasets. Voor de term bulkdataset zoeken wij aansluiting bij de 
terminologie zoals die ook wordt gebruikt in artikel 1 onder a van de Tijdelijke 
regeling verwerking bulkdatasets Wiv 2017, namelijk ‘een omvangrijke gegevens- 
verzameling waarbij het merendeel van de gegevens betrekking heeft op organisa- 
ties en/of personen die geen onderwerp van onderzoek zijn [..] en dat ook niet wor- 


, 


den’. 


Normering 

In voorgaande is nader stilgestaan bij het object van onderzoek namelijk de activi- 
teit van het verrichten van 1) onderzoek aan 2) gegevens voor 3) strafvorderlijke 
doeleinden. De vraag daarbij is hoe die activiteit genormeerd moet worden en wat 
dat betekent voor de inrichting van een nieuwe wettelijke regeling. Met het begrip 
normeren in strafvorderlijke context doelen we op het stellen van normen aan be- 


paald strafvorderlijk optreden met als doel het sturen van het gedrag van 


15 Art. 1 onder b Wpg. De definitie van “gegevens” in het gemoderniseerde WvSv is “iedere 
weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt 
voor overdracht, interpretatie of verwerking door personen of geautomatiseerde wer- 
ken”, art. 2.1.1 nieuw Sv. 
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overheidsfunctionarissen.!° Wij richten ons daarbij op het normeren door de wet- 
gever in de vorm van formuleren van nadere regels dan wel richtinggevende be- 
ginselen. Omdat de activiteit van normeren onlosmakelijk verbonden is met het 
houden van toezicht op de naleving van de normen, zal ook daaraan aandacht 


worden besteed. 


15 METHODOLOGIE 
1.5.1 Toelichting per onderzoeksvraag 


Het onderzoek ten behoeve van de eerste onderzoeksvraag naar de vormgeving van 
en de problemen in het huidige juridische kader heeft bestaan uit een deskresearch 
naar wetgeving, parlementaire documentatie, jurisprudentie, beleidsdocumenten 
en wetenschappelijke commentaren. Aan de hand van die bronnen zijn de verschil- 
lende regelingen die op de verwerking van gegevens binnen de context van de 
opsporing en hun onderlinge verhouding van toepassing zijn in kaart gebracht. 
Tevens is gekeken naar de vraag welke knelpunten daarbij in de jurisprudentie en 
literatuur zijn geconstateerd voor wat betreft de inrichting van de regelingen en de 
inhoud van de normering. Bij de analyse van de mogelijke gebreken in het juridisch 
kader is tevens aandacht besteed aan mogelijke alternatieven voor de huidige re- 
geling zoals die tot uitdrukking komen in de plannen van de wetgever in het kader 
van de modernisering van het WvSv. Om de huidige regeling beter te doorgronden 
en zicht te krijgen op de problemen in de praktijk zijn voorts interviews met 19 
professionals gehouden met diverse wetenschappelijke dan wel beroepsmatige 
achtergronden. Bij de selectie van respondenten en de methode van interviews 
wordt hieronder nader stilgestaan. 

Ter beantwoording van de tweede onderzoeksvraag naar het Europeesrech- 
telijk kader zijn verschillende rechtsbronnen bestudeerd. Allereerst is in kaart ge- 
bracht welke eisen de EU Richtlijn 2016/680 ofwel de Law Enforcement Directive stelt 
aan het gebruik van in de opsporing verkregen gegevens. Voorts is relevante juris- 
prudentie van het EHRM inzake het recht op privacy zoals neergelegd in artikel 8 
EVRM en het Hof van Justitie EU inzake artikel 7 en 8 HGEU bestudeerd. Bij deze 
analyse is aansluiting gezocht bij secundaire literatuur die nader inzicht verschaft 
in deze regelgeving en jurisprudentie. Daarbij valt bijvoorbeeld te denken aan we- 
tenschappelijke commentaren, openbare onderzoeksrapporten, toelichtingen en 
andere beleidsdocumenten. Bij beantwoording van de tweede onderzoeksvraag is 


16 Zie over normering meer uitgebreid Samadi 2020, p. 22 e.v. 
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geen aandacht besteed aan de Conventie 108+ nu dit verdrag voor wat betreft het 
in dit onderzoek centraal gestelde onderwerp grotendeels overlapt met de Richtlijn 
2016/680 en bovendien nog niet in werking is getreden. Ook wordt in dit onderzoek 
geen aandacht besteed aan de (mogelijk) normerende werking die van artikel 6 
EVRM uitgaat ten aanzien van onderzoek aan gegevens.!” 

Aan de derde onderzoeksvraag ligt een vergelijkende methode ten grond- 
slag. Er is in dit verband gekeken naar de Wiv 2017 en naar de regelingen in enkele 
naburige landen. Zowel de interne rechtsvergelijking met de Wiv 2017 als de ver- 
kennende externe rechtsvergelijking met het buitenland heeft plaatsgevonden aan 
de hand van een deskstudie aangevuld met interviews. Bij de deskstudie naar de 
Wiv 2017 is gekeken naar de wet zelf, de parlementaire geschiedenis, literatuur en 
de bevindingen van de commissie Jones-Bos die de Wiv 2017 recent heeft geëvalu- 
eerd. Voor wat betreft de verkennende rechtsvergelijking met het buitenland is ge- 
kozen voor een drietal landen, te weten België, Duitsland en Noorwegen. Dat on- 
derzoek berust op deskresearch aangevuld met interviews met respondenten uit 
de drie verschillende landen. Bij de selectie van landen en respondenten wordt in 
het vijfde hoofdstuk nader stilgestaan. 

De centrale onderzoeksbevindingen zijn besproken in een zogeheten ex- 
pertmeeting waaraan een drietal wetenschappers met verschillende achtergronden 
en een drietal politieambtenaren met ervaring met strafvordering en de Wpg deel- 
namen! Doel van deze expertmeeting was te reflecteren op de resultaten van het 
onderzoek en de lessen die daaruit vallen te trekken met het oog op de aanpassing 
van de bestaande wettelijke regeling. 


1.5.2 Nadere toelichting op de interviews 


Naast een deskresearch zijn als gezegd in het kader van dit onderzoek ook inter- 
views gehouden met respondenten in Nederland, België, Duitsland en Noorwe- 
gen. Er is gesproken met professionals uit de strafrechtspraktijk die te maken heb- 
ben met gegevensverwerking alsmede met wetenschappers die ervaring hebben 
opgedaan met op strafvorderlijke gegevensverwerking toepasselijke regelgeving, 


17 Over art. 6 EVRM in relatie tot onderzoek van grote hoeveelheden gegevens is reeds een 
en ander geschreven. De vraag is immers hoe de uit art. 6 EVRM voortvloeiende verde- 
digingsrechten kunnen worden verwezenlijkt als met behulp van allerlei technieken 
grote hoeveelheden gegevens worden onderzocht. Zie onder meer Schermer & Oerle- 
mans 2020; Galië 2021; Dubelaar, Fedorova & Te Molder 2021. Zie voorts ook HR 28 juni 
2022, ECLI:NL:HR:2022:900. 

18 Deze expertmeeting is gehouden op 15 juni 2022. Zie bijlage voor de lijst met deelnemers. 


12 Inleiding 


dan wel een bijzondere expertise hebben op het gebied van gegevensverwerking 
en/of strafvordering. In totaal is met negentien respondenten gesproken. 

Voor wat betreft de Nederlandse rechtspraktijk is gesproken met een se- 
nior rechter, een Officier van Justitie, een lid van de politie, een strafrechtadvocaat, 
een adviseur bij de afdeling bestuursondersteuning van de AIVD die zich bezig- 
houdt met de herziening van de Wiv 2017 en twee (beleids)medewerkers van de 
AP. Daarnaast zijn ook experts op het gebied van de Europees (privacy en gege- 
vensbeschermings)recht en Richtlijn 2016/680 geïnterviewd. Ten aanzien van de 
respondenten uit het buitenland is zowel gesproken met wetenschappers die zich 
bezighouden met de thematiek van het normeren van gegevensverwerking in het 
strafrecht als met ervaringsdeskundigen die in hun dagelijkse werk van doen heb- 
ben met gegevensverwerking ten behoeve van strafrechtelijk onderzoek. Zowel in 
België, Duitsland als Noorwegen zijn drie verschillende respondenten geïnter- 
viewd. Een lijst met geïnterviewde personen is opgenomen in Bijlage I bij dit on- 
derzoek. 

De interviews dienden enerzijds ter verkenning van de uitgangspunten 
van de normering van het verwerken van persoonsgegevens, anderzijds is beoogd 
met de interviews een zo volledig mogelijk beeld te krijgen met name ook omtrent 
de inhoud en wijze van normering van gegevensverwerking in het buitenland. De 
interviews zijn gehouden met één of twee respondenten tegelijkertijd, en hebben 
zowel fysiek als digitaal plaatsgevonden. Bij elk interview waren steevast twee en 
soms drie onderzoekers aanwezig. leder interview is vervolgens teruggeluisterd 
door een student-assistent die de gesprekken heeft getranscribeerd. 

De interviews waren kwalitatief van aard en vonden semigestructureerd 
plaats op basis van een topiclist die steeds is aangepast op basis van de expertise 
en/of functie van de desbetreffende respondent. De keuze voor semigestructu- 
reerde interviews is gebaseerd op meerdere, vooraf geformuleerde onderwer- 
pen/vragen die bij (bijna) alle respondenten aan bod dienden te komen, terwijl te- 
vens ruimte diende te bestaan voor het doorvragen/uitdiepen van onderwerpen 
als de antwoorden van respondenten daartoe aanleiding gaven. Er is voor kwali- 
tatieve interviews gekozen vanwege het verkennende karakter van het te verrich- 
ten onderzoek en vanwege de relevantie van de eigen opvattingen van de respon- 


denten over de verwerking van persoonsgegevens voor de opsporing. 


Inleiding 13 
1.6 OPBOUW VAN HET RAPPORT 


Het rapport is als volgt opgebouwd: in het tweede hoofdstuk wordt het bestaande 
wettelijk kader uiteengezet waarbij tevens aandacht wordt besteed aan de voorlo- 
pige plannen van de wetgever om de regeling aan te passen. Aan het slot van dit 
hoofdstuk worden enkele aandachts- of knelpunten benoemd die volgen uit het 
nationale kader en die richting geven aan het vervolg van het onderzoek. Zij vor- 
men als het ware ‘de bril’ van waaruit naar de andere contexten wordt gekeken. In 
het derde hoofdstuk wordt het relevante Europeesrechtelijk kader besproken en 
geanalyseerd. Zoals zal blijken, is de jurisprudentie ten aanzien van strafvorder- 
lijke gegevensverwerking volop in ontwikkeling. Voorts zijn er ten aanzien van de 
Richtlijn 2016/680 de nodige interpretatievragen. In het vierde hoofdstuk wordt 
vervolgens gekeken naar de ervaringen met de Wiv 2017 en in het vijfde hoofdstuk 
naar de ervaringen in de drie vergelijkingslanden. In die hoofdstukken wordt be- 
sproken op welke wijze in de Wiv 2017 en de vergelijkingslanden invulling is ge- 
geven aan Europeesrechtelijke eisen en waarborgen en welke keuzes aldaar zijn 
gemaakt voor wat betreft de inrichting en de inhoud van de respectieve regelingen. 
Daarbij is tevens aandacht besteed aan de vraag in hoeverre die regelingen naar 
tevredenheid functioneren. In het zesde (slot)hoofdstuk worden de lijnen bij elkaar 
gebracht en wordt nader gereflecteerd op de bevindingen uit de eerdere hoofstuk- 
ken met het oog de inrichting van een nieuwe regeling en de keuzes die in dit ver- 


band voorliggen. 


2 Het huidige en het gemoderniseerde 
wettelijke kader voor onderzoek aan 
gegevens voor strafvorderlijke doeleinden 


2.1 INLEIDING 


Dit hoofdstuk biedt een antwoord de volgende deelvraag: Waar liggen de knelpunten 
in het huidige wettelijke kader voor wat betreft het doen van onderzoek aan reeds vergaarde 
(persoons)gegevens voor strafvorderlijke doeleinden? Daartoe wordt uiteengezet hóe de 
normering van opsporingsonderzoek aan reeds verkregen gegevens thans is ge- 
normeerd. Daarbij gaat de aandacht in het bijzonder uit naar twee wetten: de Wet 
politiegegevens (Wpg) en het Wetboek van Strafvordering (WvSv). Allereerst 
wordt in paragraaf 2.2 stilgestaan bij de vraag welke onderwerpen in welke wetten 
zijn geregeld en waarom daarvoor is gekozen. Daarna wordt in paragraaf 2.3 nader 
stilgestaan bij de wijze van normering in deze wetten. Bij deze bespreking ligt het 
zwaartepunt op de wettelijke systematiek, beginselen en uitgangspunten. Ook zal 
aandacht worden besteed aan de wijze waarop toezicht wordt uitgeoefend op de 
uitvoering van deze wetten. Normering is immers zoals eerder aangegeven nauw 
verweven met toezicht.!? Ter afsluiting van dit hoofdstuk volgt in paragraaf 2.4 een 
overzicht van de belangrijkste knelpunten die voortvloeien uit het huidige juridi- 
sche kader inzake onderzoek aan reeds verkregen gegevens ten behoeve van de 
opsporing. 


2.2 STRUCTUUR WET- EN REGELGEVING 


In het huidige juridische kader zijn twee wetten in het bijzonder van belang voor 
de normering van het doen van onderzoek aan gegevens ten behoeve van strafvor- 
derlijke doeleinden: de Wet politiegegevens (Wpg) en het Wetboek van Strafvor- 
dering (WvSv). In het hiernavolgende wordt stilgestaan bij de vraag welke onder- 
werpen in welke wetten zijn geregeld, waarom daarvoor is gekozen en hoe deze 


wetten zich tot elkaar verhouden. 


19 Zie hoofdstuk 1, onder terminologie. 
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2.2.1 Wet politiegegevens (Wpg) 


Van belang voor de normering van het opsporingsonderzoek aan in de opsporing 
verkregen persoonsgegevens is ten eerste de Wpg. De reikwijdte van de Wpg volgt 
uit artikel 2 Wpg dat kort gezegd bepaalt dat de wet van toepassing is op de ver- 
werking van politiegegevens. Politiegegevens zijn persoonsgegevens die worden 
verwerkt in het kader van de politietaak als bedoeld in artikel 3 en artikel 4 Politie- 
wet 2012 (Polw. 2012).2 Een van deze taken betreft de daadwerkelijke handhaving 
van de rechtsorde, waaronder de opsporing van strafbare feiten is te scharen. 

Voor de definitie van persoonsgegevens is in de Wpg aansluiting gezocht 
bij de definitie in het algemene persoonsgegevensbeschermingsrecht: alle informa- 
tie over een geïdentificeerde of identificeerbare natuurlijke persoon.” Van per- 
soonsgegevens is dus sprake als deze een persoon identificeren of herleidbaar naar 
hem of haar zijn. Zo is een telefoonnummer als zodanig geen persoonsgegeven, 
maar wel als een telefoonnummer is te herleiden tot een concreet persoon of samen 
met een naam wordt verwerkt.22 

Onder verwerken wordt verstaan elke bewerking of elk geheel van bewer- 
kingen met betrekking tot politiegegevens of een geheel van politiegegevens.” De 
Wpg geeft in artikel 1, onder c, een niet-uitputtende lijst van voorbeelden: “verza- 
melen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvra- 
gen, raadplegen, gebruiken, verstrekken door middel van doorzending, versprei- 
den of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in ver- 
band brengen, afschermen of vernietigen”. Het begrip verwerken heeft dus betrek- 
king op het gehele proces dat een persoonsgegeven doormaakt vanaf het moment 
dat het is verzameld tot aan het moment van vernietiging. 

Mede vanwege het brede bereik van de Wpg is deze wet ook van toepas- 
sing op het reguleren van onderzoek aan reeds vergaarde gegevens voor strafvor- 
derlijke doeleinden. Tegelijkertijd is deze wet niet enkel op deze activiteiten toege- 
sneden. De Wpg is veeleer te beschouwen als een wet waarin is geregeld hoe de 
politie met persoonsgegevens moet omgaan, ongeacht hoe zij deze gegevens heeft 
verkregen. Daarnaast ziet de Wpg niet alleen op het verwerken van gegevens voor 
strafvorderlijke doeleinden, ook het verwerken van gegevens verkregen in het 


20 Artikel 1, onder a, Wpg. 

21 Artikel 1, onder b, Wpg. 

22 HvJ EG 6 november 2003, C-101/01, ECLI:EU:C:2003:596 (Lindqvist), par. 24. 

23 Artikel 1, onder c, Wpg. 

24 De definitie van verwerken in de Wpg komt dus overeen met de definitie van verwerken 
in artikel 4, onderdeel 2, AVG. Zie hierover Kranenborg & Verhey 2018, p. 111-112. 
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kader van de openbare ordetaak van de politie is in de Wpg geregeld. Niettemin 
bevat de Wpg wel een aantal belangrijke bepalingen over onder meer het herge- 
bruik van gegevens die in de opsporing zijn vergaard voor andere doelen en het 


opbouwen van een informatiepositie. 


2.2.2 Wetboek van Strafvordering (WvSv) 


Naast de Wpg is ook het WvSv van belang voor de normering van het opsporings- 
onderzoek aan gegevens. Voor een goed begrip van deze bepalingen moet worden 
bedacht dat het gebruik van gegevens in beginsel ligt besloten in de bevoegdheid 
tot vergaring. Aan het gebruik of de verwerking van gegevens is dan ook relatief 
weinig aandacht besteed in strafvordering. In het WvSv is een aantal bepalingen 
neergelegd, waarin specifiek eisen worden gesteld aan de verwerking van gege- 
vens die met bepaalde opsporingsmethoden zijn verkregen. Anders dan in de Wpg 
het geval is, zijn deze bepalingen steeds gekoppeld aan een aantal specifieke op- 
sporingsbevoegdheden. Het gaat om een bonte verzameling bepalingen die in de 
loop van de jaren, in het kader van verschillende wetgevingsoperaties aan het 


WvSv zijn toegevoegd:25 


- Artikel 125n WvSv stelt eisen aan het bewaren en vernietigen van gegevens 
die zijn vastgelegd tijdens een doorzoeking.26 

- Artikel 126nb WvSv, vierde lid, stelt eisen aan het bewaren en vernietigen 
van gegevens die zijn verkregen met het bevel tot nummeridentificatie.27 

- Artikel 126cc/dd WvSv stellen eisen aan het bewaren, vernietigen en gebrui- 
ken van gegevens die met enkele bijzondere opsporingsbevoegdheden zijn 
verkregen.28 

- Artikel 126jj WvSv stelt eisen aan het bewaren, vernietigen en raadplegen 
van ANPR-gegevens die op basis van dit artikel zijn verkregen.” 


25 Het WvSv bevat meer bepalingen over de verwerking van gegevens, bijvoorbeeld over 
het verwerken van DNA, foto's of vingerafdrukken. Deze onderwerpen vallen echter 
buiten het bereik van dit onderzoek. 

26 Deze bepaling is het resultaat van de Wet Computercriminaliteit I (Stb. 1993, 33) en II 
(Stb. 2006, 300). 

27 Ingevoerd in het kader van de Wet wijziging van bepalingen met betrekking tot de ver- 
werking van persoonsgegevens (Stb. 2001, 180). 

28 Ingevoerd in het kader van de Wet bijzondere opsporingsmethoden (Stb. 2000, 32). 

29 Ingevoerd in het kader van de Wet vastleggen en bewaren van kentekengegevens door 
de politie (Stb. 2017, 462). 
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In het kader van dit onderzoek zijn in het bijzonder de artikelen 126cc/dd WvSv 
van belang. Anders dan in de overige bevoegdheden is in deze artikelen een meer 
algemene regeling getroffen voor het bewaren, vernietigen en hergebruiken van 
gegevens die met enkele bijzondere opsporingsbevoegdheden zijn verkregen. Het 
gaat om de volgende opsporingsbevoegdheden: observatie met behulp van een 
technisch hulpmiddel, het opnemen van vertrouwelijke communicatie, het opne- 
men van communicatie of het vorderen van gegevens. 

Artikel 126cc WvSv bevat een regeling voor de bewaring en vernietiging 
van gegevens die met eerdergenoemde bevoegdheden zijn verkregen. Uit artikel 
126cc WvSv volgt kort gezegd dat de gegevens die zijn verkregen met de inzet van 
bijzondere opsporingsbevoegdheden worden bewaard zolang de zaak niet is ge- 
eindigd. Als de zaak wel is geëindigd, dienen de gegevens binnen twee maanden 
te worden vernietigd. Artikel 126cc WvSv geeft invulling aan het zogeheten doel- 
bindingsbeginsel, inhoudende dat gegevens die met bijzondere opsporingsbe- 
voegdheden zijn verkregen in beginsel alleen mogen worden gebruikt voor het 
specifieke onderzoek waarvoor ze zijn verkregen. 

Tegelijkertijd is in artikel 126dd WvSv erkend dat zogeheten doelafwij- 
kend gebruik van gegevens die met de eerdergenoemde bevoegdheden zijn ver- 
kregen onder omstandigheden mogelijk is. Op basis van deze bepaling kan de Of- 
ficier van Justitie bepalen dat de gegevens voor een ander strafrechtelijk onderzoek 
kunnen worden gebruikt dan waartoe de bevoegdheid is uitgeoefend of voor het 
opbouwen van een informatiepositie als bedoeld in artikel 10, eerste lid, onderde- 
len aen b Wpg. De strekking van artikel 126dd WvSv is beperkt. Het doel van deze 
bepaling is voorschrijven wanneer de elders gebruikte gegevens moeten worden 


vernietigd. 


2.2.3 Verhouding tussen Wet politiegegevens en Wetboek van Strafvordering 


Uit het voorgaande volgt dat onderzoek van gegevens die in de opsporing zijn 
verkregen in zowel de Wpg als WvSv, aan nadere regels is onderworpen. Opval- 
lend hieraan is dat de wetgever in sommige gevallen de noodzaak heeft gezien om 
onderzoek van gegevens niet in de Wpg, maar in het WvSv te regelen. Kennelijk 
kon de Wpg in deze gevallen niet volstaan als juridisch kader. Het WvSv staat dan 
ook in een specialis-verhouding tot de Wpg. In dit verband rijst wel de vraag 
waarom de wetgever specifiek voor deze opsporingsbevoegdheden en dwangmid- 
delen de noodzaak heeft gezien om een van de Wpg afwijkende regeling voor de 


30 Zie over het doelbindingsbeginsel uitgebreid hoofdstuk 3. 
31 Kamerstukken II 1996/97, 25403, nr. 3, p. 88. 
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verwerking van verkregen gegevens te ontwikkelen. Deze vraag klemt temeer in- 
dien wordt bedacht dat de wetgever meermaals kenbaar heeft gemaakt dat de ver- 
garing van gegevens in het WvSv moet worden geregeld en de (verdere) verwer- 
king in de Wpg.” 

Deze vraag laat zich echter niet gemakkelijk beantwoorden, omdat de 
wetgever deze vraag nooit expliciet onder ogen heeft gezien. Voor een aantal van 
de verwerkingsbepalingen in het WvSv is keuze voor plaatsing in het WvSv niet 
verwonderlijk, nu deze bepalingen dateren van voor de inwerkingtreding van de 
Wpg. Maar ook in het kader van de verwerkingsbepalingen die na de inwerking- 
treding van de Wpg aan het WvSv zijn toegevoegd, is de wetgever nooit expliciet 
ingegaan op de vraag waarom in het WvSv soms een van de Wpg afwijkende re- 
geling is ontwikkeld. Illustratief is hier de memorie van toelichting van de Wpg. 
Hierin wordt weliswaar opgemerkt dat in het WvSv ten aanzien van bepaalde ge- 
gevens die met enkele bijzondere opsporingsbevoegdheden zijn verkregen van de 
Wpg afwijkende regels gelden, zonder nader toe te lichten waarom hiervoor is ge- 
kozen.” De verhouding tussen de Wpg en het WvSv lijkt dus niet het resultaat te 
zijn van een algemeen uitgangspunt, maar veeleer van verschillende maatschap- 
pelijke, politieke en juridische ontwikkelingen. 

Uit de ratio van de verwerkingsbepalingen in het WvSv kan niettemin 
impliciet worden afgeleid dat het bieden van (meer) rechtsbescherming een be- 
langrijk argument is geweest om in het WvSv een van de Wpg afwijkende regeling 
te ontwikkelen. De hierboven genoemde gegevensverwerkingsbepalingen die in 
het WvSv zijn opgenomen, bevatten immers steeds strengere en specifiekere nor- 
men dan de Wpg.* Illustratief zijn hier de bewaar- en vernietigingsregels die in de 
artikelen 125n WvSv, 126nb WvSv en 126cc WvSv zijn opgenomen. De bewaar- en 
vernietigingsregels in de Wpg zijn afhankelijk gesteld van het doel van de verwer- 
king en deze doelen zijn soms wel erg ruim geformuleerd, met als gevolg dat de 
gegevens ook lang kunnen worden bewaard. In het WvSv zijn de bewaar- en ver- 
nietigingsregels echter gekoppeld aan de vraag of de strafzaak is geëindigd (artikel 
126cc WvSv) of dat de gegevens niet meer van belang zijn voor het onderzoek (ar- 
tikel 125n en artikel 126nb, vierde lid, WvSv). Ook artikel 126dd WvSv vormt een 


32 Zie onder meer Kamerstukken II 1996/97, 25403, nr. 3, p. 8; Kamerstukken II 2005/06, 30327, 
nr. 3, p. 3 en 25; Kamerstukken II 2012/13, 33542, nr. 3, p. 25. In de literatuur is dat ook 
breed gesignaleerd. Zie Mac Gillavry 2005, p. 405; Schermer 2017, p. 210; Rapport Com- 
missie Koops 2018, p. 26. 

33 Kamerstukken II 2005/06, 30327, nr. 3, p. 16. 

34 Vgl. in dit verband ook Rapport Commissie Koops 2018, p. 59-60. 

35 Zie onder meert art. 9 lid 4 Wpg en art. 10 lid 6 Wpg. 
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verzwaring ten opzichte van het regime in de Wpg. De Wpg kent ook verschillende 
normen voor doelafwijkend gebruik van gegevens, maar artikel 126dd WvSv is 
strenger. Voor doelafwijkend gebruik op basis van artikel 126dd WvSv is immers 
toestemming van de Officier van Justitie vereist, terwijl de Wpg doorgaans alleen 
eist dat een bevoegd functionaris die vaak werkzaam is bij de politie, toestemming 
geeft.3 


2.24 Modernisering van het Wetboek van Strafvordering 


Ter afsluiting is het goed nader stil te staan bij de plannen inzake de modernisering 
van het WvSv. In dit kader heeft de wetgever immers kenbaar gemaakt te willen 
terugkeren naar het uitgangspunt dat de vergaring in het WvSv moet worden ge- 
regeld en de verwerking in een specifieke gegevensverwerkingswet, vergelijkbaar 
met de Wpg. In het gepubliceerde conceptwetsvoorstel voor het nieuwe WvSv zijn 
de bepalingen over de verwerking van in de opsporing verkregen gegevens ge- 
schrapt.’ De consequentie hiervan is dus ook dat de (recent veel toegepaste)** ar- 
tikelen 126cc/dd WvSv zijn verwijderd. De minister is van plan de geschrapte be- 
palingen onder te brengen in een nieuwe gegevensverwerkingswet waarin de hui- 
dige Wpg en de Wjsg moeten opgaan.® Waarom de wetgever er vooralsnog voor 
kiest om deze bepalingen in deze nieuwe wet onder te brengen is onduidelijk. In 
2018 heeft de commissie Koops bijvoorbeeld nog geadviseerd om het toepassings- 
bereik van de artikelen 126cc/dd WvSv uit te breiden.” De reden hiervoor is dat bij 
digitaal opsporingsonderzoek steeds vaker voorkomt dat gegevens worden verg- 
aard die voor andere doelen van belang kunnen zijn dan het doel waarvoor de 
gegevens zijn vergaard. 

Tegelijkertijd is ook het nieuwe WvSv vooralsnog niet geheel consequent in 
de uitwerking van het eerdergenoemde uitgangspunt. Artikel 2.7.39 nieuw WvSv 


voorziet immers onder meer in een regeling voor het uitvoeren van onderzoek aan 


36 Art. 126dd lid 1 WvSv. 

37 Het gaat om de artikelen 27a, 27b, 55c, 61a, 125m, 125n, derde lid, 126nb, vierde lid, 126cc, 
126dd en 151a WvSv. Zie voorts conceptmemorie van toelichting (ambtelijke versie) 2020 
voor het nieuwe WvSv, p. 228-229. 

38 Zie onder meer Rb. Den Haag 20 januari 2021, ECLI:NL:RBDHA:2021:284; Rb. Zeeland- 
West-Brabant 24 februari 2021, ECLI:NL:RBZWB:2021:735; Rb. Amsterdam, 30 april 2021, 
ECLI:NL:RBAMS:2021:2161; Rb. Oost-Brabant 15 december 2021, 
ECLI:NL:RBOBR:2021:6861; Rb. Oost-Brabant 2 februari 2022, ECLI:NL:RBOBR:2022:312. 

39 Memorie van Toelichting (ambtelijke versie 2020), p. 228, 532. Zie voorts over het voor- 
nemen de Wpg en de Wjsg samen te voegen: brief van de Minister van Veiligheid en 
Justitie van 23 juni 2014 (Kamerstukken II 2013/14, 33 842, nr. 2, p. 3). 

40 Rapport Commissie Koops 2018, p. 60. 
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gegevens nádat deze zijn overgenomen”! Strikt genomen gaat het in artikel 2.7.39 
nieuw WvSv aldus ook om handelingen die worden verricht, nadat de gegevens 


zijn vergaard. 


2.3 WIJZE VAN NORMERING: UITGANGSPUNTEN, SYSTEMATIEK EN TOEZICHT 


De Wpg en het WvSv kennen voor wat betreft de vergaring en verwerking van 
gegevens goeddeels dezelfde doestellingen. Enerzijds zijn deze wetten bedoeld om 
de opsporingsautoriteiten, in het bijzonder de politie, de ruimte te bieden om ge- 
gevens te vergaren en nader te verwerken. Anderzijds voorzien deze wetten in 
waarborgen, opdat de rechten en belangen van burgers worden beschermd. Aan 
deze doelstelling is echter in beide wetten op geheel andere wijze invulling gege- 
ven. Daar waar de normering in de Wpg is te typeren als principle based, is in het 
WvSv gekozen voor een vorm van rule based normering. Ook de wijze waarop toe- 
zicht wordt uitgeoefend op de Wpg respectievelijk WvSv is wezenlijk anders. In 
deze paragraaf wordt nader ingegaan op de verschillen in normering en toezicht 
tussen de Wpg en het WvSv. 


23.1 Wet politiegegevens: uitgangspunten, wettelijke systematiek en toezicht 
2.3.1.1 Uitgangspunten en wettelijke systematiek 


De verwerking van persoonsgegevens in de Wpg wordt eerst en vooral genor- 
meerd door de algemene beginselen van gegevensverwerking: rechtmatigheid en 
behoorlijkheid, doelbinding, dataminimalisatie, juistheid van gegevens, opslagbe- 
perking, integriteit en vertrouwelijkheid. Deze beginselen zijn neergelegd in de ar- 
tikelen 3-4b Wpg. Deze artikelen brengen aldus een aantal normen tot uitdrukking 
waaraan elke gegevensverwerking door de politie moet voldoen. Veel van deze 
beginselen zijn in lijn met de Richtlijn 2016/680 nauwelijks gedefinieerd of nader 
uitgewerkt“? 

Illustratief zijn hier de beginselen van noodzakelijkheid en behoorlijk- 
heid. Hoewel het noodzakelijkheidsvereiste is neergelegd in artikel 3 lid 1 Wpg, 
keert dit vereiste als zodanig niet terug in de specifieke grondslagen op basis waar- 
van de politie gegevens mag verwerken. Niettemin dient het 


41 Voor de leesbaarheid is hier de term ‘computer’ gebruikt, maar artikel 2.7.39 ziet op di- 
gitale-gegevensdragers en geautomatiseerde werken. 
42 Zie nader hoofdstuk 3 over deze Richtlijn 2016/680. 
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noodzakelijkheidsvereiste wel steeds bij toepassing van de Wpg in overweging te 
worden genomen. Ook het beginsel van behoorlijkheid heeft niet of nauwelijks 
aandacht gekregen.” In de wet noch in de memorie van toelichting is nader toege- 
licht wat dit beginsel inhoudt. De consequentie hiervan is dat onduidelijk is wat 
dit beginsel betekent en hoe de politie dit beginsel bij de toepassing van de Wpg in 
haar afwegingen moet betrekken. 

Sommige beginselen hebben daarentegen wel meer uitwerking gekregen. 
Dat geldt in het bijzonder voor het doelbindingsbeginsel en de daarmee samen- 
hangende beginselen van data-minimalisatie en opslagbeperking.“ Het doelbin- 
dingsbeginsel bestaat uit twee componenten: doelspecificatie en doelbinding.* Dit 
beginsel verplicht er dus toe het doel van de verwerking te expliciteren en vervol- 
gens schrijft het beginsel voor dat gegevens mogen worden verwerkt op een ma- 
nier die niet onverenigbaar is met dit vooraf gegeven of geformuleerde doel. 

De wetgever heeft op twee manieren nadere invulling gegeven aan het 
doelspecificatiebeginsel. Allereerst heeft de wetgever in de Wpg zelf een aantal 
doelen onderscheiden binnen de brede politietaak. In het kader van dit onderzoek 
zijn de volgende doelen van belang: 1) algemene politietaak (artikel 8 Wpg); 2) 
handhaving rechtsorde concreet geval (artikel 9 Wpg) en 3) het opbouwen van een 
informatiepositie (artikel 10 Wpg).” Het eerste doel dat is te vinden in artikel 8 
Wpg, is bedoeld voor het verwerken van gegevens die in het kader van de dage- 
lijkse politietaak zijn verkregen. Hierbij kan onder meer worden gedacht aan sur- 
veillance, eenvoudig recherche-/opsporingswerk en het handhaven van wetten en 
regels.“® Voor de verwerking van gegevens die door middel van de in het WvSv 
geregelde opsporingsbevoegdheden zijn verkregen, zijn artikel 9 en 10 Wpg be- 
doeld. De reden voor het onderscheid tussen enerzijds artikel 8 Wpg en anderzijds 
artikel 9 en 10 Wpg is gelegen in de ernst van de privacy-inbreuk. Daar waar in het 
kader van artikel 8 Wpg gegevens worden verwerkt die weinig over iemands pri- 
véleven zeggen, gaat het in artikel 9 en 10 Wpg om gegevens die meer prijs kunnen 


geven over iemands privéleven. 


43 Kamerstukken 11 2005/06, 30327, nr. 3, p. 39, 45 en 55. 

44 Ook in het Unierecht is dit beginsel nauwelijks geconcretiseerd. Zie daarover H3, § 
3.2.1.1. 

45 Zie over de relatie tussen de beginselen uitgebreid Koning 2020. 

46 Zie hierover nader hoofdstuk 3. 

47 In de literatuur worden de volgende doelen aangewezen: algemene politietaak (artikel 8 
Wpg); handhaving rechtsorde concreet geval (artikel 9 Wpg); opbouwen informatieposi- 
tie (artikel 10 Wpg); beheer en controle van informanten (artikel 12 Wpg); ondersteuning 
van de politietaak (artikel 13 Wpg). 

48 Kamerstukken II 2005/06, 30327, nr. 3, p. 38 (MvT). 
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Mede vanwege de ernst van de inbreuk op privacy heeft de wetgever - ten tweede 
- voor wat betreft artikel 9 en 10 Wpg in nadere doelspecificatie willen voorzien. 
Zo heeft de wetgever in het kader van artikel 9 bepaald dat de politie binnen een 
week nadat is begonnen met de verwerking nader moet specificeren wat het doel 
van de verwerking precies is. Binnen het brede doel — handhaving van de rechts- 
orde in een concreet geval — moet de politie dus nog een specifieker verwerkings- 
doel formuleren en schriftelijk vastleggen. In artikel 10 Wpg heeft de wetgever 
voor een andere systematiek gekozen. In artikel 10 Wpg heeft de wetgever nader 
omschreven welke vormen van criminaliteit en over welke personen gegevens mo- 
gen worden verwerkt met als doel het opbouwen van een informatiepositie. Dit 
artikel verplicht de politie — anders dan artikel 9 Wpg — niet ertoe vooraf op te 
schrijven wat het doel van de verwerking is. Overigens lijkt de wetgever in de me- 
morie van toelichting wel te suggereren dat ook bij toepassing van artikel 10 Wpg 
vooraf moet worden geëxpliciteerd wat het doel van de verwerking is.” De tekst 
van artikel 10 Wpg verplicht hier echter niet toe. 

Dit vrij complexe systeem van doelbinding heeft de wetgever verder ge- 
compliceerd door bij elk verwerkingsdoel in artikel 8, 9 en 10 Wpg te regelen dat 
(verder) doelafwijkend gebruik van de gegevens mogelijk is, indien dat noodzake- 
lijk is voor andere doelen binnen de politietaak.” In de praktijk betekent dit dat de 
gegevens die voor het ene doel zijn verwerkt, bijvoorbeeld de opsporing van straf- 
bare feiten (op grond van art. 9 Wpg), voor een ander doel kunnen worden ver- 
werkt, bijvoorbeeld het opbouwen van een informatiepositie (op grond van art. 10 
Wpg), zolang dat maar noodzakelijk is voor dat andere doel.*! Voorts heeft de wet- 
gever in artikel 11 Wpg een grondslag gecreëerd voor het zoeken in gegevens voor 
andere doelen dan waarvoor de gegevens zijn verkregen. Zo mag de politie op 
basis van bijvoorbeeld artikel 11 Wpg gegevens vergelijken en bepaalde data-ana- 
lyses uitvoeren met gegevens die op basis van artikel 8, 9 en 10 Wpg zijn verwerkt, 
indien dat noodzakelijk is voor een onderzoek als bedoeld in artikel 9 Wpg of een 
verwerking als bedoeld in artikel 10 Wpg. 

Hoewel de wetgever in de Wpg veel aandacht heeft besteed aan doelbin- 
ding en de daarbij behorende mogelijkheden tot (verder) doelafwijkend gebruik, 


49 Vgl. Kamerstukken 11 2005/06, 30327, nr. 3, p. 4 en 10, waar wordt beschreven dat gerichte 
verwerking alleen toelaatbaar is indien van tevoren is beschreven wat het doel van de 
verwerking is. 

50 Custers & Uršič 2016, p. 4-15, laten voor wat betreft de privaatrechtelijke context zien dat 
gegevens op verschillende manieren voor een ander doel kunnen worden verwerkt. 

51 Zie ter illustratie een aantal recente zaken: Rb. Amsterdam 5 januari 2022, 
ECLENL:RBAMS:2022:131; Rb. Rotterdam 15 oktober 2021, ECLI:NL:RBROT:2021:10180; 
Rb. Zeeland-West-Brabant 6 juli 2021, ECLI:NL:RBZWB:2021:3406. 
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is opvallend dat de Wpg voor wat betreft de normering van het verwerken van 
gegevens vooral een algemeen kader schetst door de relevante beginselen te noe- 
men, maar de uitwerking van deze beginselen vervolgens heeft overgelaten aan de 
politie zelf. In dit verband is niet alleen het eerdergenoemde artikel 9 lid 2 Wpg 
waarin de politie wordt opgedragen het doel van de verwerking nader te specifi- 
ceren van belang, ook artikel 11 Wpg is hiervan een illustratie. 

In plaats van dat artikel 11 Wpg precies voorschrijft wanneer de bepaling 
van toepassing is, kent deze bepaling brede begrippen zoals ‘geautomatiseerd ver- 
gelijken’ en ‘in combinatie zoeken’. In de literatuur wordt artikel 11 Wpg aange- 
wezen als grondslag voor het uitvoeren van complexe data-analyses,®? maar bij- 
voorbeeld ook voor predictive policing, waarbij door middel van data-analyse 
wordt ingeschat waar criminaliteit zal plaatsvinden of wie met een verhoogde 
waarschijnlijkheid strafbare feiten zal plegen. Het uitvoeren van data-analyses ten 
aanzien van gegevens die zijn overgenomen uit een inbeslaggenomen server of 
computer, verschilt echter wezenlijk van predictive policing. De vraag is dan ook 
artikel 11 Wpg wel voldoende is toegesneden op de verschillende manieren van 
data-analyse die voor uiteenlopende doelen kunnen worden uitgevoerd. 

Een andere consequentie van het brede toepassingsbereik van de bepaling 
is dat toepassingsvoorwaarden vrij algemeen zijn geformuleerd.” Zo verwijst arti- 
kel 11 lid 4 Wpg naar ‘bijzondere gevallen’ zonder dat geheel duidelijk wordt wan- 
neer daarvan sprake is.” Op deze manier lijkt de wetgever dus de ruimte te hebben 
geboden om — afhankelijk van de toegepaste methode — een afweging te maken 
tussen enerzijds het recht op privacy en anderzijds het belang van inzet van de 
methode.” Hier doet zich dan ook een belangrijk verschil voor met de normering 
in het WvSv.* In het WvSv is er immers voor gekozen om steeds zo precies moge- 
lijk uit te schrijven op welke opsporingsmethode(n) de betreffende bevoegdheid 


ziet, waardoor ook de toepassingsvoorwaarden daarop zijn toegesneden. 


52 Schermer 2017, p. 211. 

53 Das & Schuilenberg 2018, par. 1. Overigens erkennen deze auteurs wel dat artikel 11 Wpg 
een magere grondslag is voor predictive policing. 

54 De wetgever vond dit ook noodzakelijk omdat de bepaling zowel relevant is in het kader 
van de strafrechtelijke taken van de politie als de taken op het gebied van de openbare 
orde. 

55 Kamerstukken II 2005/06, 30327, nr. 3, p. 66 bevat op dit punt wel enige aanwijzingen, maar 
laat nog steeds veel vragen open. 

56 Kamerstukken 11 2005/05, 30327, nr. 3, p. 38. 

57 Vgl. in dit verband Stevens & Koops 2021, p. 705-709 die voor het nieuwe WvSv conclu- 
deren dat de regeling inzake de opsporing ook vooral de huidige stand van zaken codi- 
ficeert en weinig open normen bevat. 
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2.3.1.2 Toezicht 


De Wpg kent verschillende vormen van intern (niet-onafhankelijk) en extern (on- 
afhankelijk) toezicht. Intern komt de privacyfunctionaris een belangrijke taak toe. 
Een privacyfunctionaris heeft als taak om adviezen te geven over de toepassing 
van de Wpg en toezicht te houden op de Wpg.”® Zo is voor veel vormen van doel- 
afwijkend gebruik toestemming nodig van de privacyfunctionaris.” Vaak is een 
privacyfunctionaris een politiefunctionaris die deskundig is op het gebied van het 
privacyrecht.® Extern houdt een zogeheten functionaris gegevensbescherming en 
de Autoriteit Persoonsgegevens (AP) toezicht op naleving van de Wpg. De func- 
tionaris gegevensbescherming (FG) beschikt over allerlei bevoegdheden die gelijk- 
waardig zijn aan de bevoegdheden in afdeling 5.2 Algemene wet bestuursrecht 
(Awb).°! Naast deze functionarissen houdt de AP toezicht op de Wpg.® Deze au- 
toriteit heeft handhavende en sanctionerende bevoegdheden. Zo kan de AP een 
last onder dwangsom of een bestuurlijke boete opleggen. Opvallend is echter wel 
dat de AP veel minder toezichthoudende, adviserende en sanctionerende bevoegd- 
heden heeft dan onder de Algemene verordening gegevensbescherming (AVG). 
De AP heeft bijvoorbeeld geen bevoegdheid om verwerkingen stil te leggen of on- 
rechtmatig verwerkte gegevens zelf te verwijderen. Verder is in de Wpg geregeld 
dat betrokkenen bij de AP klachten kunnen indienen.® Voor de uitoefening van dit 
klachtrecht en de toezichthoudende taak van de AP is het essentieel dat de politie 
bijhoudt op welke wijze zij gegevens verwerkt. In de Wpg zijn dan ook verschil- 
lende bepalingen te vinden die ertoe strekken dat de politie haar werkzaamheden 
documenteert of logt. Verder komt aan betrokkenen het recht toe om inzage te 
vorderen in de gegevens die over hem/haar zijn verwerkt, maar onder omstandig- 
heden kan dit recht op inzage worden afgewezen, bijvoorbeeld om te voorkomen 
dat een opsporingsonderzoek wordt doorkruist.” 


58 Artikel 34 Wpg. 

59 Kritisch hierover Schermer 2017, p. 211. 

60 Groenhart in: T&C Privacy- en gegevensbeschermingsrecht 2020, commentaar op artikel 34 
Wpg. 

61 Artikel 36 Wpg. 

62 Artikel 35 Wpg. 

63 Zie artikel 35a Wpg respectievelijk artikel 35c Wpg. 

64 Stevens e.a. 2021, p. 240-241. Zie voorts De Hert & Sajfert 2018, p. 251-252. 

65 Artikel 31a Wpg. 

66 Zie artikel 31d-33 Wpg. 

67 Artikel 25 jo. 27 Wpg. 
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Naast bovenstaande toezichthouders krijgt ook de Officier van Justitie een rol toe- 
bedeeld in de Wpg.* De Officier van Justitie heeft immers het gezag over de op- 
sporing en uit dien hoofde heeft hij ook in een aantal gevallen bepaalde zeggen- 
schap over de verwerking van politiegegevens. Soms is dat in de Wpg bepaald (zie 
bijv. artikelen 11, 19 en 20 Wpg), maar vaker volgt dat uit de Aanwijzing Wet po- 
litiegegevens.” 


2.3.2 Wetboek van Strafvordering: uitgangspunten, wettelijke systematiek en toezicht 
2.3.2.1 Uitgangspunten en wettelijke systematiek 


De wijze van normeren in het WvSv is echter geheel anders dan in de Wpg. In het 
WvSv is immers steeds zo precies mogelijk uitgeschreven in welke gevallen, op 
welke wijze, voor welke doelen en met inachtneming van welke waarborgen een 
bepaalde bevoegdheid mag worden toegepast. De keuze voor deze rule based be- 
nadering is in belangrijke mate het gevolg van het strafvorderlijke legaliteitsbegin- 
sel (artikel 1 WvSv) dat voorschrijft dat strafvordering bij wet moet zijn voorzien. 
Tegelijkertijd wordt dit beginsel door zowel de wetgever als de Hoge Raad niet zo 
strikt toegepast dat elke methode of werkwijze waarmee gegevens voor de opspo- 
ring worden vergaard, moet berusten op een specifieke wettelijke grondslag. Al- 
leen de methoden die 1) een meer dan beperkte inbreuk maken op grondrechten 
en/of 2) die zeer risicovol zijn voor de integriteit en beheersbaarheid van de opspo- 
ring, moeten worden voorzien van een wettelijke basis met bijbehorende waarbor- 
gen.” Dit uitgangspunt heeft ertoe geleid dat het huidige WvSv geen systematische 
beschrijving bevat van alle in de praktijk toegepaste opsporingsmethoden.”! Op- 
sporingsmethoden die niet of slechts in beperkte mate inbreuk maken op grond- 
rechten en niet zeer risicovol zijn voor de integriteit en beheersbaarheid, worden 
gebaseerd op de algemene taakstelling van de politie (artikel 3 Politiewet in com- 
binatie met artikelen 141/142 WvSv). Zo heeft de Hoge Raad in het verleden 


68 Van der Bel e.a. 2020, p. 65. 

69 Aanwijzing Wet politiegegevens en de rol van de Officier van Justitie, (Stcrt. 2018, 26060). 

70 Zie onder meer Kamerstukken II 1996/97, 25403, nr. 3, p. 3 en 51; HR 19 december 1995, NJ 
1996/249 m.nt. Schalken, r.o. 6.4.5; HR 20 januari 2009, ECLI:NL:HR:2009:BF5603, NJ 
2009/225 m.nt. Borgers; HR 1 juli 2014, ECLI:NL:HR:2014:1569; HR 1 juli 2014, 
ECLI:NL:HR:2014:1562, NJ 2015/114/115 beide m.nt. Van Kempen. 

71 Corstens 2021, p. 312. Ook in het gemoderniseerde WvSv wordt niet gestreefd naar een 
uitputtende wettelijke normering van de opsporing. Zie hierover Simmelink 2017, p. 324. 
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geoordeeld dat de inzet van bijvoorbeeld een IMSI-catcher, stealth-sms, lokfiets en 
-auto op artikel 3 Politiewet en artikelen 141/142 WvSv kunnen worden geba- 
seerd.”2 

De rule based normering is duidelijk te herkennen in de huidige bevoegd- 
heden ter verwerking van gegevens die eerder in de opsporing zijn verkregen. 
Voor veel van deze bevoegdheden geldt dat precies is omschreven wat de aard en 
het doel van de bevoegdheid is, de gevallen waarin en de personen jegens wie de 
bevoegdheid mag worden gebruikt, de aanwijzing van de beslissingsbevoegde 
functionaris en de wijze van verslaglegging. Ter illustratie wordt hier gewezen op 
de eerdergenoemde artikelen 126cc/dd WvSv. Anders dan in de Wpg gebruikelijk 
is, is in deze artikelen precies vastgelegd in welke gevallen gegevens die met enkele 
bijzondere opsporingsmethoden zijn verkregen mogen worden bewaard (artikel 
126cc WvSv) en voor welke andere doelen de gegevens kunnen worden verwerkt 
(artikel 126dd WvSv). Het voordeel van deze rule based benadering is dat voor zo- 
wel de burger als de opsporingsautoriteiten zelf meer duidelijkheid wordt gescha- 
pen over wat al dan niet is toegestaan. Uit dit samenstel van bepalingen volgt bij- 
voorbeeld duidelijk dat de wetgever heeft gekozen voor een ‘enge’ invulling van 
het doelbindingsbeginsel. Dat komt tot uitdrukking in de artikelen 126cc/dd WvSv 
waaruit volgt dat gegevens in beginsel alleen mogen worden gebruikt in het on- 
derzoek waarin ze zijn vergaard en twee maanden na afloop van de zaak waarvoor 
ze zijn vergaard moeten worden verwijderd, waardoor de weg wordt afgesneden 
om ze nadien voor een ander doel te gebruiken. Een nadeel van deze enge invulling 
is inflexibiliteit. Zo is de vraag of bij deze enge uitleg van het doelbindingsbeginsel 
wel altijd voldoende rekening kan worden gehouden met de belangen van de op- 
sporingsautoriteiten bij hergebruik van gegevens. 


2.3.2.2 Toezicht 


Binnen het strafvorderlijke kader hebben twee actoren — de rechter en het OM — 
een belangrijke toezichthoudende taak. Allereerst houdt de strafrechter toezicht op 
de rechtmatigheid van de opsporing. Op basis van artikel 359a WvSv heeft hij de 
mogelijkheid om aan onrechtmatigheden tijdens het voorbereidend onderzoek 
rechtsgevolgen te verbinden, zoals bewijsuitsluiting of niet-ontvankelijkheid van 


72 Zie HR 1 juli 2014, ECLI:NL:HR:2014:1569; HR 1 juli 2014, ECLENL:HR:2014:1562, NJ 
2015/114/115 beide m.nt. Van Kempen; HR 28 oktober 2008, 2009/224, 
ECLI:NL:HR:2008:BE9817; HR 6 oktober 2009, NJ 2009/503, ECLI:NL:HR:2009:BI7084; HR 
11 november 2014, ECLI:NL:HR:2014:3142, NJ 2015/296, m.nt. Borgers. Zie voorts Fok- 
kens & Kirkels-Vrijman 2009, p. 105-124; Borgers 2015. 
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het OM. In de praktijk is de toezichthoudende rol van de strafrechter echter be- 
perkt. Een belangrijke reden hiervoor is dat veel zaken de strafrechter helemaal 
niet bereiken. Een andere reden hiervoor is vaste rechtspraak van de Hoge Raad 
inzake artikel 359a WvSv.”3 Deze rechtspraak heeft immers tot gevolg dat het niet- 
naleven van de Wpg in de regel niet tot enig rechtsgevolg in een concrete strafzaak 
hoeft te leiden. De lat voor de zwaardere sancties van niet-ontvankelijkheid en be- 
wijsuitsluiting ligt in ieder geval hoog, zeker als geen strafvorderlijk zwaarwe- 
gende belangen zoals de bescherming van het recht op een eerlijk proces als be- 
doeld in artikel 6 EVRM worden geschonden.” De Wpg strekt vooral tot bescher- 
ming van het recht op privacy en een privacyschending wordt in strafvordering 
doorgaans niet gezien als een strafvorderlijk zwaarwegend belang.” De rechter 
heeft bij privacy-schendingen wel de mogelijkheid om strafvermindering toe te 
passen, maar ook daarvoor geldt dat dit vooral aan orde is bij de meer ernstige 
schendingen waarbij de verdachte ook concreet nadeel heeft geleden. In de huidige 
feitenrechtspraak over de vergaring en verwerking van crypto-data tekent zich ie- 
der geval de lijn af dat de strafrechter doorgaans voorbijgaat aan verweren die zijn 
gestoeld op de Wpg. In dit verband wordt vaak overwogen dat niet aannemelijk is 
geworden dat de Wpg is geschonden en — als dat wel aannemelijk zou zijn — dat de 
rechtbank vragen over de Wpg niet hoeft te beantwoorden met het oog op de vra- 
gen in artikel 348/350 WvSv en/of het garanderen van een eerlijk proces.” 

Naast de rechter wordt aangenomen dat ook het openbaar ministerie 
(OM) een toezichthoudende taak toekomt met betrekking tot de rechtmatigheid 
van de opsporing. De toezichthoudende taak is echter niet wettelijk vastgelegd.” 
Dat de Officier van Justitie een rol heeft bij het toezicht kan in de eerste plaats wor- 
den afgeleid uit de regeling van de opsporingsbevoegdheden die aan de Officier 
van Justitie een belangrijke rol toebedeelt. Voor de inzet van veel opsporingsbe- 
voegdheden en dwangmiddelen is immers toestemming van de Officier van Justi- 
tie vereist.”® Op deze wijze kan de Officier van Justitie bijdragen aan de rechtma- 
tigheid van de opsporing. In de tweede plaats kan deze taak worden afgeleid uit 


73 HR 1 december 2020, ECLI:NL:HR:2020:1890, NJ 2021/170 m.nt. Jörg. 

74 HR 1 december 2020, ECLI:NL:HR:2020:1890, NJ 2021/170 m.nt. Jörg. 

75 Luining, in: Handboek Strafzaken 2020, 18.8. 

76 Zie onder meer Rb. Gelderland 20 oktober 2021, ECLI:NL:RBGEL:2021:5621; Rb. Gelder- 
land 8 december 2021, ECLI:NL:RBGEL:2021:6584; Rb. Oost-Brabant 15 december 2021, 
ECLI:-NL:RBOBR:2021:6861; Rb. Amsterdam 22 december 2021, 
ECLI:NL:RBAMS:2021:7553. Zie voor een andere benadering Rb. Amsterdam 30 septem- 
ber 2021, ECLI:NL:RBAMS:2021:5520. 

77 Samadi 2020, p. 151 en 296. 

78 Zie Samadi 2020, p. 297-303 over de praktijk hiervan. 
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het gezag dat hij uitoefent over de opsporing.” Vanuit dit gezag (en de daarmee 
verbonden notie van magistratelijkheid) kan het openbaar ministerie ook waken 
over de rechtmatigheid van de opsporing. In de praktijk zien officieren van justitie 
ook een toezichthoudende taak voor zichzelf weggelegd. De mate waarin ook 
daadwerkelijk toezicht wordt uitgeoefend is echter ook mede afhankelijk van de 


wijze waarop een individuele Officier van Justitie hieraan invulling geeft.50 


24 CONCLUSIE EN AANDACHTSPUNTEN IN DE NORMERING 


In het voorgaande is stilgestaan bij de vraag hoe de normering van onderzoek aan 
gegevens in het huidige juridische kader is vormgegeven. In het licht van de ont- 
wikkelingen op het gebied van de digitale opsporing is een aantal aandachtspun- 
ten in de normering aan te wijzen.*! Vier punten verdienen in het bijzonder aan- 
dacht. 


241 Vergaren en verwerken 


Het eerste aandachtspunt betreft de keuze om de vergaring van gegevens zoveel 
mogelijk in het WvSv te regelen en de verwerking in de Wpg. Hoewel in de loop 
van de jaren verschillende bepalingen aan het WvSv zijn toegevoegd die betrek- 
king hebben op de verwerking van in de opsporing verkregen gegevens, wil de 
wetgever deze bepalingen schrappen en onderbrengen in een nieuwe gegevens- 
verwerkingswet. Nadere reflectie op deze keuze maar ook op eerdere keuzes om 
bepaalde vormen van gegevensverwerking juist wel in het WvSv te regelen, heeft 
echter niet of nauwelijks plaatsgevonden. Dat leidt in toenemende mate tot vragen 
op het gebied van wetgevingssystematiek; welke onderwerpen moeten in welke 
wet worden geregeld? 

Ingevolge artikel 1 WvSv is het uitgangspunt dat de opsporing van straf- 
bare feiten in het WvSv is geregeld. In dit licht bezien is de vraag of in het WvSv 
niet meer aandacht moet worden besteed aan de normering van het onderzoeken 
of analyseren van gegevens die in de opsporing zijn verkregen. Tegenwoordig ver- 
gaart de politie immers steeds grotere hoeveelheden gegevens die na vergaring 
vaak geen betekenis hebben en context ontberen. Nadat een nadere analyse heeft 
plaatsgevonden, wordt pas duidelijk op welke personen de gegevens betrekking 


79 Artikel 148 WvSv. Zie nader Samadi 2020, p. 144-151. 
80 Samadi 2020, p. 354. 
81 Vgl. Schermer 2017, p. 207-211; Rapport Commissie Koops 2018, p. 26. 
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hebben en of de gegevens relevant materiaal bevatten. Thans voorziet het WvSv 
wel in enkele algemene bepalingen op het gebied van het opslaan, vernietigen en 
hergebruiken van gegevens die met enkele bijzondere opsporingsbevoegdheden 
zijn verkregen”? In het kader van de modernisering van het WvSv worden deze 
bepalingen geschrapt. Het gevolg hiervan is dat de verdere verwerking van grote 
hoeveelheden gegevens in het geheel buiten het WvSv wordt geregeld, maar de 
vraag is of dat wetssystematisch logisch is. 

Andersom geldt ook dat de Wpg een bevoegdheid kent — artikel 11 Wpg 
— die op het eerste gezicht meer in het WvSv thuishoort. Deze bevoegdheid maakt 
het onder meer mogelijk om in het kader van een opsporingsonderzoek gegevens 
die reeds bij de politie aanwezig zijn te vergelijken of te combineren. Deze be- 
voegdheid voorziet aldus in een grondslag voor het doen van onderzoek aan ge- 
gevens die reeds in de systemen van de politie staan. 

Kortom, hoewel het vergaren en verwerken van gegevens zich vaak wel 
van elkaar laten scheiden, is de vraag of dit onderscheid ook altijd moet worden 
doorgetrokken in de wettelijke normering. 


24.2 Onderzoek van bulkgegevens 


De inzet van (heimelijke) opsporingsbevoegdheden kan leiden tot bulkgegevens. 
Het in beslag nemen van een server of het hacken van een server kan er immers 
toe leiden dat bulkgegevens worden verkregen. In de context van strafvordering 
kunnen bulkgegevens worden gedefinieerd als een grote gegevensverzameling 
waarvan het merendeel betrekking heeft op personen die geen onderwerp van on- 
derzoek zijn en dat ook nooit zullen worden.” Het begrip bulkgegevens is dus niet 
gerelateerd aan de wijze waarop gegevens zijn verkregen. Ook ‘gerichte’ vormen 
van gegevensvergaring zoals het in beslag nemen van een server kan ertoe leiden 
dat een grote gegevensverzameling wordt verkregen waarvan het merendeel be- 
trekking heeft op personen die nooit onderwerp van strafrechtelijk onderzoek zul- 
len zijn. Voorts is belangrijk om te benadrukken dat bulkgegevens een gradueel 
begrip is. Het percentage personen dat geen onderwerp van onderzoek is en dat 
ook nooit zal worden, kan van geval tot geval verschillen. Het verkrijgen van bulk- 
gegevens ligt vanuit het oogpunt van het recht op privacy gevoeliger dan het ver- 


krijgen van gegevens die wel te relateren zijn aan een of meer personen die 


82 Artikelen 126cc/dd WvSv. 

83 Deze definitie is gebaseerd op de definitie van bulkgegevens die voor de diensten wordt 
gebruikt. Zie over de definitie o.m. Rapport Commissie Jones-Bos 2020, p. 39. Zie voorts 
Galië 2022 over bulkgegevens in een strafvorderlijke context. 
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onderwerp van onderzoek zijn. Immers, met het verkrijgen van bulkgegevens ko- 
men gegevens over veel personen in de systemen van de politie te staan zonder 
dat voor elk van deze personen daarvoor een reden bestaat. 

In het huidige WvSv is het onderzoek van verkregen bulkgegevens niet 
expliciet genormeerd.* In recente jurisprudentie is dan ook veel discussie ontstaan 
over de vraag of, en zo ja, op welke wijze onderzoek mag worden verricht aan 
bulkgegevens die door middel van de hackbevoegdheid zijn overgenomen in de 
systemen van de opsporingsautoriteiten.# Zo rijzen allerlei vragen over de wijze 
waarop die gegevensverwerking mag geschieden en welke waarborgen daarvoor 
gelden ten aanzien van de personen wier gegevens worden verwerkt. De verwer- 
king kan bijvoorbeeld leiden tot een fishing expedition en vormt daarmee een risico 
voor de bescherming van het recht op privacy. Het gaat echter niet alleen om de 
waarborgen van een verdachte. Er spelen ook andere belangen, te weten de belan- 
gen van de samenleving als geheel. Kenmerkend voor bulkgegevens is immers dat 
daarin ook allerlei gegevens zijn vervat over personen die geen onderwerp van 


onderzoek zijn en dat ook nooit zullen worden. 


243 Invulling van het doelbindingsbeginsel 


Het derde aandachtspunt betreft de wijze waarop in de Wpg en het WvSv invul- 
ling is gegeven aan het doelbindingsbeginsel en daarmee ook de mogelijkheden 
tot doelafwijkend gebruik. In zowel de Wpg als het WvSv wordt onderzoek van in 
de opsporing verkregen gegevens eerst en vooral genormeerd door het doelbin- 
dingsbeginsel. Dit beginsel houdt in dat vergaarde gegevens in beginsel alleen mo- 
gen worden verwerkt voor het doel waarvoor ze zijn verkregen. Als dit doel is 
bereikt, dienen de gegevens te worden verwijderd. In de praktijk betekent dit dan 
ook dat gegevens die met de inzet van bijzondere opsporingsbevoegdheden zijn 
verkregen in beginsel alleen mogen worden gebruikt ten behoeve van het opspo- 
ringsonderzoek en het onderzoek ter zitting waarin de bevoegdheden zijn ingezet. 
Dit doel bepaalt dan ook wanneer de gegevens moeten worden vernietigd.*° 


84 Het gebruiken van gegevens voor andere doelen dan waarvoor de gegevens zijn verkre- 
gen is wel nader genormeerd in artikel 126dd WvSv. 

85 Zie bijvoorbeeld Rb. Amsterdam 17 maart 2022, ECLENL:RBAMS:2022:1273; Rb. Lim- 
burg 26 januari 2022, ECLI:NL:RBLIM:2022:558; Rb. Noord-Holland 4 mei 2022, 
ECLENL:RBNHO:2022:3899. 

86 Op verschillende plaatsen in het WvSv is deze gedachtegang te herkennen. Zie onder 
meer art. 125n en art. 126cc WvSv. 
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Tegelijkertijd is in zowel het WvSv als de Wpg erkend dat doelafwijkend gebruik 
mogelijk is.” Zo is in artikel 126dd WvSv bepaald dat gegevens die op basis van 
enkele bijzondere opsporingsbevoegdheden zijn verkregen voor andere strafrech- 
telijke onderzoeken mogen worden gebruikt. Ook de Wpg kent verschillende mo- 
gelijkheden tot doelafwijkend gebruik. Niet alleen is voor elk verwerkingsdoel be- 
paald dat gegevens voor andere doelen mogen worden verwerkt, artikel 11 Wpg 
bevat ook een meer algemene grondslag op basis waarvan politiegegevens met het 
oog op andere doelen nog eens bevraagd kunnen worden. 

In het licht van de mogelijkheden om gegevens centraal op te slaan en 
nader te verwerken lijkt de systematiek waarbij enerzijds doelbinding het uit- 
gangspunt is en anderzijds mogelijkheden worden gecreëerd voor doelafwijkend 
gebruik onder druk komen te staan. Dat kan worden geïllustreerd aan de hand van 
de voorziening genaamd ‘Raffinaderij Dit is een voorziening die het mogelijk 
maakt om snel grote hoeveelheden politiegegevens te vergelijken en te combineren 
om zo tot nieuwe inzichten te komen. Zo kan informatie uit inbeslaggenomen te- 
lefoons of computers in samenhang worden geanalyseerd met tapverslagen, data 
van peilbakens en gegevens die uit het openbare bronnen afkomstig zijn. Het toe- 
passen van de Wpg op een voorziening als Raffinaderij is niet eenvoudig, omdat 
niet steeds voorafgaand aan een verwerking is te bepalen wat het doel van de ver- 
werking is. Het doel van Raffinaderij is het analyseren van gegevens om daaraan 
informatie te ontlenen, maar dat is wel heel algemeen. 

Doelbinding en daarmee het beperken van de mogelijkheden tot doelaf- 
wijkend gebruik is een belangrijke waarborg voor zowel het recht op privacy als 
persoonsgegevensbescherming. Door vooraf te bepalen wat het doel van de ver- 
werking is en alleen verwerkingen toe te staan die in overeenstemming zijn met 
dit doel wordt de gegevensverwerking inzichtelijk en kan misbruik worden voor- 
komen.” Als de gegevens niet meer nodig zijn om het doel te bereiken, moeten ze 
worden verwijderd. De vraag is dan ook hoe op een zinvolle wijze invulling kan 
worden gegeven aan doelbinding en doelafwijkend gebruik, waarbij zowel recht 
wordt gedaan aan het waarborgkarakter ervan alsook aan de werkbaarheid van de 


opsporing. Ter beantwoording van deze vraag zijn in het bijzonder het recht o 
psp 8 8 8 ZIJ J p 


87 Ook in de Richtlijn 2016/680 is dat erkend, zie hierover uitgebreid hoofdstuk 3. 

88 Zie onder meer art. 8 lid 4, art. 9 lid 3, art. 10 lid 5 Wpg. 

89 Zie voor een beschrijving van Raffinaderij: De Vries, 2017, p. 254-259. Deze voorziening 
is gestart als pilot maar wordt inmiddels landelijk toegepast door de politie, zo blijkt uit 
het jaarrapport van de politie over 2020. Beschikbaar via: 
https://www.politie.nl/binaries/content/assets/politie/onderwerpen/jaarverantwoor- 


ding/2020/jaarverantwoording-politie-2020-inclusief-accountantsverklaring. 
90 Zie over de ratio van het doelbindingsbeginsel onder meer Koning 2020, p. 71-78. 
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persoonsgegevensbescherming en het recht op privacy van belang, nu deze rech- 
ten eerst en vooral bepalen hoe precies het doel moet worden omschreven en in 


welke mate doelafwijkend gebruik is toegestaan. 


244 Toezicht op gegevensverwerking 


Een vierde aandachtspunt betreft — tot slot — het toezicht op de gegevensverwer- 
king. In theorie houden verschillende, zowel interne als externe toezichtsorganen 
(AP, gegevensbeschermingsfunctionaris, privacyfunctionaris, OM, strafrechter) 
toezicht op de verdere verwerking van gegevens in de opsporing, maar het valt te 
betwijfelen of daadwerkelijk sprake is van effectieve rechtsbescherming, waarbij 
burgers adequaat zijn beschermd tegen misbruik en fouten. Voor wat betreft straf- 
vorderlijk toezicht geldt immers dat de strafrechter (zeer) terughoudend is met het 
verbinden van rechtsgevolgen aan privacyschendingen, met als gevolg dat de rech- 
ter doorgaans niet uitvoerig controleert of de Wpg is nageleefd.” Ook de rol van 
het OM is op dit gebied beperkt. In het kader van de Wpg ligt dat wat anders. In 
theorie wordt op verschillende manieren zowel door interne als externe toezicht- 
houders toezicht gehouden op naleving van de Wpg. Tegelijkertijd is ook hier de 
vraag of hier van effectief toezicht kan worden gesproken. Een probleem onder de 
Wpg is immers dat de verantwoordelijkheid voor naleving van de Wpg vooral bij 
de betrokkene zelf is neergelegd”? Een betrokkene kan een klacht indienen als hij 
van oordeel is dat de politie onrechtmatig gegevens heeft verwerkt, maar een be- 
trokkene beschikt niet altijd over de benodigde informatie, bijvoorbeeld omdat de 
autoriteiten het recht op inzage beperken.” Bovendien doen zich hierbij ook prak- 
tische problemen voor, zoals onduidelijkheid over de vraag bij wie en op welke 
wijze en klacht moet worden ingediend en lange doorlooptijden.” Daarnaast heeft 
de AP ook mogelijkheden om zelfstandig toezicht uit te oefenen, maar de moge- 
lijkheden hiertoe zijn — in vergelijking met de AVG — beperkt. De vraag is dan ook 
hoe toezicht op onderzoek van gegevens die in de opsporing zijn verkregen moet 


91 Zie ter illustratie verschillende rechtbankzaken, waarin gevoerde verweren op basis van 
de Wpg steevast worden afgewezen: Rb. Gelderland 20 oktober 2021, 
ECLI:NL:RBGEL:2021:5612; Rb. Gelderland 8 december 2021, 
ECLI:NL:RBGEL:2021:6584; Rb. Oost-Brabant 15 december 2021, 
ECLI:NL:RBOBR:2021:6861; Rb. Amsterdam 22 december 2021, 
ECLENL:RBAMS:2021:7553. 

92 Zie in een iets ander verband ook: Stevens e.a. 2021, p. 241. 

93 Artikel 27 Wpg. 

94 Vogiatzoglou e.a. 2020, p. 274-302. 
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worden geregeld, zodat een burger daadwerkelijk wordt beschermd tegen mis- 


bruik en andere fouten. 


3 Europeesrechtelijk kader 


3.1 INLEIDING 


In dit hoofdstuk wordt antwoord gegeven op de vraag welke eisen en waarborgen 
relevante Europese rechtsbronnen stellen aan de normering van onderzoek aan de 
in de opsporing verkregen gegevens. Daarbij wordt in het bijzonder ingegaan op 
de verplichtingen die staten hebben om het recht op gegevensbescherming en het 
recht op privacy te waarborgen. Deze rechten kunnen immers snel in het geding 
komen bij onderzoek aan gegevens voor strafvorderlijke doeleinden. Hierna wordt 
allereerst ingegaan op de EU-Richtlijn 2016/680, ofwel de ‘Law Enforcement Direc- 
tive’. In deze richtlijn heeft de Uniewetgever nader invulling gegeven aan het recht 
op persoonsgegevensbescherming dat als zodanig alleen in artikel 8 van het Hand- 
vest van de Grondrechten van de Europese Unie (HGEU) is neergelegd. Daarna 
staat het recht op privacy centraal. Dit recht is zowel in artikel 7 HGEU als in artikel 
8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) erkend. Over 
de betekenis van het recht op privacy en de vereisten die een inbreuk op het recht 
op privacy kunnen rechtvaardigen in het kader van de opsporing heeft met name 
het Europees Hof voor de Rechten van de Mens (EHRM) zich uitgelaten. De laatste 
jaren neemt de jurisprudentie over artikel 7 en 8 HGEU in relatie tot de opsporing 
evenwel ook toe. In dit onderzoek is daarom ervoor gekozen om zowel in te gaan 
op de rechtspraak van het EHRM als van het Hof van Justitie EU (HvJ EU). 

Een belangrijke kanttekening die met betrekking tot onderstaande analyse 
moet worden gemaakt is dat met dit onderzoek geen toetsing wordt beoogd waarbij 
wordt beoordeeld of een of meer specifieke opsporingsactiviteiten voldoen aan de 
eisen die het recht op gegevensbescherming of het recht op privacy stellen. De ana- 
lyse in dit hoofdstuk heeft als doel in kaart te brengen welke eisen en waarborgen 
van belang zijn voor de inrichting van wetgeving op het gebied van onderzoek aan 
reeds vergaarde gegevens voor het nemen van strafvorderlijke beslissingen. De in 
dit hoofdstuk in kaart te brengen eisen en waarborgen dienen als normatief refe- 


rentiekader, waarbinnen de wetgever regelgeving kan ontwikkelen. 
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3.2 RICHTLIJN 2016/680 


Op 27 april 2016 komt binnen de EU de ‘Law Enforcement Directive’ tot stand 
(Richtlijn 2016/680).°° De Richtlijn 2016/680 heeft als doel een alomvattend kader te 
creëren inzake de bescherming van persoonsgegevens bij het gebruik ervan door 
politie en strafrechtelijke autoriteiten, ongeacht of de betrokken personen getuige, 
slachtoffer of verdachte zijn. Enerzijds heeft de EU daarbij oog voor de bescher- 
ming van natuurlijke personen in verband met de verwerking van hun persoons- 
gegevens, anderzijds houdt de Uniewetgever rekening met de specifieke aard van 
het gebruik door politie en strafrechtelijke autoriteiten. Het doel dat de EU met 
deze Richtlijn 2016/680 voor ogen staat is bij te dragen aan het vergroten van het 
vertrouwen tussen de lidstaten en het versterken van een klimaat voor strafrechte- 
lijke samenwerking tussen lidstaten van de EU en Schengenlanden. De richtlijn 
maakt onderdeel uit van de EU-hervormingsmaatregelen voor gegevensbescher- 
ming, naast de Algemene Verordening Gegevensbescherming (hierna: AVG) en de 
EU Verordening 2018/1725 betreffende de bescherming van natuurlijke personen 
in verband met de verwerking van persoonsgegevens door instellingen, organen 
en instanties van de EU. 

De Richtlijn 2016/680 regelt uitsluitend de verwerking van persoonsgegevens 
in het kader van de voorkoming, de opsporing en de vervolging van strafbare fei- 
ten. De focus van de richtlijn is op minimumharmonisatie van de regels in de ver- 
schillende lidstaten. Blijkens artikel 1, derde lid, Richtlijn 2016/680 kunnen lidsta- 
ten ‘uitgebreide waarborgen’ bieden voor de bescherming van persoonsgege- 
vens.” In de Richtlijn 2016/680 staat een aantal kernpunten geformuleerd inzake 
het gebruik van gegevens. Lidstaten schrijven voor dat persoonsgegevens die door 
rechtshandhavingsautoriteiten worden verzameld: 

a. op wettige en eerlijke wijze worden verwerkt; 

b. uitsluitend voor welbepaalde, uitdrukkelijk omschreven en legitieme doel- 
einden worden verzameld en geheel in overeenstemming met deze doel- 
einden worden verwerkt; 

c. toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot de 
doeleinden waarvoor zij worden verwerkt; 

d. juist zijn en worden geactualiseerd waar nodig; 

e. niet langer dan voor verwerkingsdoeleinden noodzakelijk is in een vorm 


worden bewaard die identificatie van de betrokkene mogelijk maakt; 


95 PbEU 4.5.2016, L 119/89. 
96 Zie ook Sajfert & Quintel 2019, I.4; Caruana 2017, p. 251 en252; Koning 2020, p. 53 en 54. 
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f. met gebruikmaking van passende technische of organisatorische middelen 
passend worden beschermd, waaronder ook de bescherming tegen onge- 
oorloofde of onrechtmatige verwerking. 

Deze kernpunten staan in artikel 4, eerste lid, Richtlijn 2016/680 verwoord als rele- 
vante verwerkingsbeginselen. Het betreft onder meer het rechtmatigheidsbeginsel, 
het eerlijkheidsbeginsel, het doelbindingsbeginsel, het data-minimalisatiebeginsel, 
en het juistheidsbeginsel. 

Bij de uitwerking van de verwerkingsbeginselen heeft de Uniewetgever 
een evenwicht gezocht tussen aan de ene kant individuele gegevensbescherming 
en aan de andere kant de belangen van de opsporing(sautoriteiten).*” In de boven- 
staande opsomming ontbreekt evenwel het transparantiebeginsel — dat wel in de 
AVG voorkomt.” De reden hiervoor is gelegen in de aard van de activiteiten van 
de autoriteiten waarmee de Richtlijn 2016/680 gemoeid is: (volledige) transparantie 
naar een betrokkene in een strafrechtelijke procedure is immers niet steeds moge- 
lijk, omdat inzicht in en kennis van de betrokkene over de verwerking van diens 
persoonsgegevens de opsporing kan frustreren.” 

Deze paragraaf is als volgt opgebouwd. Allereerst wordt ingegaan op de 
verwerkingsbeginselen van de Richtlijn 2016/680, nu deze beginselen eerst en 
vooral richtinggevend zijn voor de normering van de verwerking van de in de op- 
sporing verkregen gegevens. Het doel van deze bespreking is het duiden van de 
verplichtingen die op staten rusten in verband met ververwerking van persoons- 
gegevens in de opsporing. In de analyse signaleren we daarnaast enkele problema- 
tische aspecten van deze beginselen. Vervolgens staan wij stil bij de vraag wat de 
Richtlijn 2016/680 op het gebied van toezicht op de verwerking van gegevens in 
het kader van opsporing vereist. 


321 Verwerkingsbeginselen 
3.2.1.1 Rechtmatigheid en eerlijkheid 


Ingevolge artikel 4 lid 1 sub a Richtlijn 2016/680 dient de verwerking van persoons- 
gegevens rechtmatig en eerlijk te geschieden. Daarmee stelt deze bepaling de eis 
van een (verwerkings)grondslag voor het verwerken van persoonsgegevens door 


de opsporingsautoriteit. In elk ander geval is de verwerking van persoonsgegevens 


97 De Hert & Papakonstantinou 2016, p. 9 en 11; Sajfert & Quintel 2019, 1.4; FRA 2018, p. 283. 

98 Dit in tegenstelling tot zijn equivalent in de AVG (in de categorie rechtmatigheid en be- 
hoorlijkheid). Zie ook De Hert & Sajfert 2021, p. 12; Sajfert & Quintel 2019, p. 21. 

99 Zie ook Custers & Leiser 2019, p. 374. 
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onrechtmatig. In tegenstelling tot de AVG bestaat er onder de Richtlijn 2016/680 
slechts één mogelijke verwerkingsgrondslag. Artikel 8 lid 1 Richtlijn 2016/680 be- 
paalt: 


“De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor 
zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde auto- 


riteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die ver- 
werking gebaseerd is op het Unierecht of het lidstatelijke recht.” 


Wat precies de toegevoegde waarde is van de term eerlijkheid (in het Engels: 
fairness) in artikel 4 lid 2 sub a Richtlijn 2016/680 naast het beginsel van rechtmatig- 
heid, wordt niet geëxpliciteerd. Hoewel eerlijkheid wordt gezien als een belangrijk 
uitgangspunt,!™ gaat de Nederlandse wetgever ervan uit dat het beginsel van eer- 
lijke verwerking van gegevens geen aanvullende betekenis heeft ten opzichte van 
de rechtmatigheid van de verwerking. '°! 


3.2.1.2 Doelbinding 


Het beginsel van doelbinding is vervat in artikel 4 lid 1, sub b Richtlijn 2016/680. 
Dit beginsel wordt gezien als een van de ‘hoekstenen van het gegevensbescher- 
mingsrecht’.!°? Over de ratio van het doelbindingsbeginsel is veel geschreven.!° In 
de kern lijkt de gedachte achter doelbinding overeen te komen met de ratio van het 
legaliteitsbeginsel. De ratio van het doelbindingsbeginsel is immers gelegen in het 
bieden van rechtszekerheid voor de betrokkene en voorzienbaarheid van de wet- 
geving inzake gegevensverwerking.' Het beginsel van doelbinding speelt ook een 
rol bij de beginselen van dataminimalisatie en opslagbeperking, in die zin dat het 
doel bepalend is voor de vraag wat niet meer als minimale gegevensverwerking 
kan worden gezien en voor de vraag wanneer gegevens moeten worden verwij- 
derd. Hieronder wordt nader ingegaan op de relatie tussen doelbinding en de be- 


ginselen van dataminimalisatie en opslagbeperking. 


100 WP29 2015, p. 6. 

101 Zie ook de Memorie van Toelichting over ‘fairness’ bij wetsvoorstel tot wijziging Wpg: 
Kamerstukken I 2017/2018, 34 889, nr. 2, p. 61. 

102 WP29 2013, p. 4. 

103 Zie hierover uitgebreid Koning 2020, p. 71-78. 

104 Zie Conclusie AG Pikamäe 31 maart 2022, C-77/21, ECLI:EU:C:2022:248 (Digi Távközlési 
és Szolgáltató Kft./Nemzeti Adatvédelmi), punt 41; Brouwer 2011, p. 279; Biega & Finck 2021, 
p. 48; Coudert 2017, p. 317. 
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Het doelbindingsbeginsel in de zin van de Richtlijn 2016/680 bestaat uit twee 
bouwstenen: doelspecificatie en verenigbaar gebruik.® Doelbinding houdt in de 
eerste plaats in dat voorafgaand aan de verwerking moet worden bepaald wat het 
doel van de verwerking is. In de tweede plaats houdt doelbinding in dat gegevens 
niet op onverenigbare wijze met dit aanvankelijk bepaalde doel mogen worden 
verwerkt. Op de betekenis van deze twee bouwstenen wordt hieronder nader in- 
gegaan. 


Doelspecificatie 


Het eerste element van doelbinding — de doelspecificatie — bepaalt dat persoonsge- 
gevens uitsluitend mogen worden verzameld voor welbepaalde, uitdrukkelijk om- 
schreven en legitieme doeleinden. Die doeleinden dienen door de bevoegde auto- 
riteit te worden vastgesteld op het ogenblik dat de persoonsgegevens worden ver- 
zameld.'° De doeleinden dienen bij wet te worden vastgesteld.!0? In het kader van 
die doelspecificatie dienen ook de ‘te verwerken persoonsgegevens’ te worden ver- 
meld in het lidstatelijke recht.!% In artikel 1 lid 1 Richtlijn 2016/680 noemt de Unie- 
wetgever de volgende verwerkingsdoeleinden: 


“de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op 
de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten 
of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en 
de voorkoming van gevaren voor de openbare veiligheid” 


In de literatuur wordt aangenomen dat de doeleinden van de Richtlijn 2016/680 
afzonderlijk onvoldoende specifiek zijn om te kunnen gelden als ‘doeleinden’ in de 
zin van artikel 4 lid 1, sub b Richtlijn 2016/680.1 Doelen als onderzoek of voorko- 
ming van strafbare feiten zijn niet alleen vaag, ze stellen ook niet of nauwelijks 
grenzen aan de wijze waarop de politie gegevens zou mogen verwerken. De onaf- 


hankelijke en gezaghebbende EU-werkgroep, de zogenoemde Artikel 29- 


105 WP29 2013, p. 11 en 12. Zie ook Jasserand 2018a, p. 156; Jasserand 2018b, p. 163; De Hert 
& Sajfert 2021, p. 9; Hahn 2021 p. 37 en 38. 

106 Overweging 26 Richtlijn 2016/680. Zie ook WP29, 2013, p. 15. 

107 Overweging 26 Richtlijn 2016/680. 

108 Art. 8 lid 2 Richtlijn 2016/680. Zie ook overweging 33 Richtlijn 2016/680. 

109 Koning 2020, p. 181 en 182. Vergelijk ook Andelbeek 2022, p. 27. 
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Werkgroep (hierna: ‘WP29’)!"° lijkt zich op hetzelfde standpunt te stellen. In twee 
opinies (2013 en 2015) is de WP29 nader ingegaan op wat is vereist in het kader 
van doelspecificatie. In 2015 maakt de WP29 duidelijk dat ‘law enforcement’ on- 
voldoende specifiek is. Dat spreekt voor zich. Law enforcement omvat vrijwel elke 
taak van de politie. In de opinie van 2013 stelt de WP29 dat het verwerkingsdoel- 
einde specifiek genoeg moet zijn om te kunnen bepalen welke soort van gegevens- 
verwerkingen binnen het doeleinde valt. Ook moet het verwerkingsdoeleinde spe- 
cifiek genoeg zijn om vast te kunnen stellen of de verwerking in lijn is met de wet!!! 
Hieruit kan worden afgeleid dat doelen als opsporing of voorkoming van strafbare 
feiten onvoldoende specifiek zijn, omdat deze doelen niet of nauwelijks de moge- 
lijkheid bieden om te kunnen bepalen welke verwerking al dan niet is toegestaan. 
Tegelijkertijd sluit de WP29 de mogelijkheid van een overkoepelend of verzamel- 
doel niet uit"? Omdat de opinie van de WP29 ziet op doelbinding in het algemeen 
en niet specifiek op doelbinding in de context van de Richtlijn 2016/680 is echter 
onduidelijk wat een overkoepelend of verzameldoel zou kunnen zijn in het kader 
van de Richtlijn 2016/680. Al met al moet worden geconcludeerd dat doelen als 
opsporing of de voorkoming van strafbare feiten onvoldoende specifiek zijn. An- 
ders kan het doelbindingsbeginsel alsmede de hieraan verwante beginselen van 
dataminimalisatie en opslagbeperking gemakkelijk worden uitgehold. Lidstaten 
moeten aldus nader specificeren voor welke doelen de politie gegevens mag ver- 
werken. 

Deze doelen moeten ingevolge artikel 8 lid 2 Richtlijn 2016/680 ook in het 
nationale recht worden vastgelegd. Hier doet zich een complicatie voor. In ab- 
stracto — los van de concrete omstandigheden van een geval — is niet eenvoudig te 
specificeren wat het doel van de gegevensverwerking is. In de Wpg is daarom er- 
voor gekozen om enerzijds in de wet een vrij abstract doel te noemen — handhaving 
van de rechtsorde in een concreet geval — en anderzijds te eisen dat de politie als 
zij overgaat tot een concrete gegevensverwerking nader specificeert wat het doel 


van de verwerking is.!!5 


110 De Artikel 29-Werkgroep was de onafhankelijke Europese werkgroep die tot 25 mei 2018 
(de datum van inwerkingtreding van de AVG) verantwoordelijk was voor de behande- 
ling van kwesties in verband met de bescherming van de persoonlijke levenssfeer en van 
persoonsgegevens. Met het van kracht worden van de AVG werd de Artikel 29-werk- 
groep vervangen door het European Data Protection Board (EDPB) (ex artikel 68 AVG). 
In het Nederlands: het Europees Comité voor gegevensbescherming. 

111 WP29, 2013, p. 15. 

112 WP29, 2013, p. 16. Vgl. ook Von Grafenstein 2018, p. 104. 

113 Zie nader hoofdstuk 2, § 3.1.1. 
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Uit het tweede element van doelbinding volgt dat de bevoegde autoriteit de per- 
soonsgegevens alleen op een niet met die doeleinden onverenigbare wijze mag ver- 
werken. Dit element is tot uitdrukking gebracht in artikel 4 lid 1, sub b Richtlijn 
2016/680. Anders dan de AVG maakt de Richtlijn 2016/680 echter niet duidelijk 
welke factoren en gezichtspunten van belang zijn bij de vraag of twee doelen on- 
verenigbaar zijn.“ Ook het Hof van Justitie heeft zich nog niet uitgelaten over de 
invulling van de verenigbaarheidstoets in de Richtlijn 2016/680.1!5 Uit de dubbele 
ontkenning volgt in elk geval niet dat de twee doelen verenigbaar hoeven te zijn: 
zij behoeven slechts niet onverenigbaar te zijn." Vanwege het gebrek aan duide- 
lijkheid in de Richtlijn 2016/680 over de onverenigbaarheidstoets is door ons nader 
geanalyseerd op welke wijze deze toets een rol speelt dan wel moet spelen in de 
Richtlijn 2016/680. In de literatuur is dit punt weliswaar aangestipt, maar niet uit- 
gebreid geanalyseerd. Op de (mogelijke) rol van de verenigbaarheidstoets gaan wij 
hieronder nader in. Eerst komt artikel 4 lid 2 Richtlijn 2016/680 aan bod, nu hierin 
specifieke regels zijn neergelegd inzake doelafwijkend gebruik. Bovendien is een 
goed begrip van deze bepaling noodzakelijk voor het beantwoorden van de vraag 
welke rol de verenigbaarheidstoets in de Richtlijn 2016/680 toekomt. 


Doelafwijkend gebruik 


Artikel 4 lid 2 Richtlijn 2016/680 maakt het mogelijk om persoonsgegevens te ver- 


werken voor een ‘ander doel’, mits dit voldoet aan vier cumulatieve voorwaarden: 


1. Het ‘andere doel’ bevindt zich in het toepassingsgebied van artikel 1, 
eerste lid, Richtlijn 2016/680: “de verwerking van persoonsgegevens 
door bevoegde autoriteiten met het oog op de voorkoming, het onder- 
zoek, de opsporing of de vervolging van strafbare feiten of de tenuit- 
voerlegging van straffen, met inbegrip van de bescherming tegen en de 
voorkoming van gevaren voor de openbare veiligheid.” (art. 4, tweede 
lid, aanhef Richtlijn 2016/680); 


114 Koning 2020, p. 135; Jasserand 2018a, p. 157. 
115 Koning 2020, p. 136. 
116 Vergelijk ook Moerel & Prins 2016, p. 65. 
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2. De verwerking voor dat andere doel is bij wet voorzien (artikel 4, 
tweede lid, sub a, Richtlijn 2016/680);!!7 

3. De verwerking is noodzakelijk; 

4. De verwerking staat in verhouding tot dat andere doel van de Richtlijn 
2016/680 overeenkomstig het Unierecht of het lidstatelijke recht (artikel 
4, tweede lid, sub b, Richtlijn 2016/680) — de proportionaliteit. 


Artikel 4 lid 2 Richtlijn 2016/680 heeft het over ‘een ander doel van artikel 1 lid 1 
Richtlijn 2016/680’. Voor de toepassing van artikel 4 lid 2 Richtlijn 2016/680 is dus 
irrelevant of er sprake is van verenigbaarheid tussen het oorspronkelijke en nieuwe 
(andere) doeleinde. De maatstaf die hier moet worden aangelegd is ‘ander doel’. 
De vraag is echter wanneer er sprake is van een ‘ander doel’. Uit de tekst van artikel 
4 lid 2 Richtlijn 2016/680 — ‘een ander doel van artikel 1 lid 1 Richtlijn 2016/680’ — 
volgt dat hierin afzonderlijke doelen worden benoemd. De vraag is echter of de 
Uniewetgever dit ook daadwerkelijk zo heeft bedoeld? De doelen waarnaar in 
artikel 4 lid 2 Richtlijn 2016/680 wordt verwezen zijn immers niet specifiek genoeg. 
In dit verband is het nuttig om onderscheid te maken tussen de in het Engels ge- 
bruikte termen ‘objectives’ en ‘purposes’ 120 Objectives zijn de doelen waarop de richt- 
lijn ziet en welke aldus tot uitdrukking komen in artikel 1 lid 1 Richtlijn 2016/680. 
Purposes zijn de doelen waarvoor in het specifieke geval gegevens worden ver- 
werkt. Purposes zullen dus altijd specifieker zijn omschreven dan objectives. 

A-G Sánchez-Bordona lijkt in een recente conclusie er vanuit te gaan dat 
de Uniewetgever dit wel zo heeft bedoeld. Hij zet uiteen dat de Richtlijn 2016/680 
drie doelen omvat (voorkoming van strafbare feiten en gevaar, opsporing van 
strafbare feiten en tenuitvoerlegging van straffen) en dat pas van doelafwijking kan 
worden gesproken als wordt gewisseld tussen deze doelen?! Anders gezegd: de 


verwerking van gegevens verschuift naar een ander facet binnen de context van de 


117 Bij de vastlegging bij wet (2) van een verwerking voor een ander doel hoeft het niet nood- 
zakelijk te gaan om ‘een door een parlement vastgestelde wetgevingshandeling’. Wel 
moet het ‘lidstatelijke recht, die rechtsgrond of die wetgevingsmaatregel [...] duidelijk en 
nauwkeurig zijn, en [moet] de toepassing daarvan [...] voorspelbaar zijn voor degenen 
op wie deze van toepassing is.’ Zie overweging 33 Richtlijn 2016/680. Zie ook Jasserand 
2018a, p. 161. 

118 Vergelijk Leiser & Custers 2019, p. 370. 

119 Vergelijk Jasserand 2018b, p. 164. 

120 Koning 2020, p. 10, 11 en 183. 

121 Zie in deze zin Conclusie A-G Sánchez-Bordona 19 mei 2022, C-180/21, 
ECLI:EU:C:2022:406 (Verenigde Staten/Inspektor v Inspektorata kam Visshia sadeben savet), 
punt 59-63. 
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Richtlijn 2016/680: bijvoorbeeld van opsporing naar voorkoming van strafbare feiten. 
De nieuwe verwerking voor de voorkoming van strafbare feiten moet dan langs de 
weg van artikel 4 lid 2 Richtlijn 2016/680 worden beoordeeld. Daartegenover staat 
dan dat elke verwerking die onder de brede doelstelling of onder het facet van de 
opsporing valt en verder wordt gebruikt onder die brede doelstelling, geen ‘ander 
doel’ is in de zin van artikel 4 lid 2 Richtlijn 2016/680. In dit geval is artikel 4 lid 2 
Richtlijn 2016/680 niet van toepassing en dient de verwerkingsverantwoordelijke 
te beoordelen of de nieuwe verwerking op basis van artikel 4 lid 1, sub Richtlijn 
2016/680 verenigbaar is met het doeleinde waarvoor de persoonsgegevens oor- 
spronkelijk zijn verzameld. Een dergelijke interpretatie geeft meer ruimte aan de 
bevoegde autoriteiten om persoonsgegevens verder te gebruiken. Er is immers in- 
gevolge artikel 4 lid 2 Richtlijn 2016/680 geen wettelijke bepaling nodig. Onder 
deze interpretatie speelt de verenigbaarheidstoets mogelijk dus tóch een belang- 
rijke rol. Deze interpretatie is echter niet aannemelijk, gelet op de eis van doelspe- 
cificatie. Het verwerkingsdoeleinde van de voorkoming van strafbare feiten of de op- 
sporing van strafbare feiten is immers niet specifiek genoeg. 

Logischer is aldus de uitleg dat een ‘ander doel’ betekent dat persoonsge- 
gevens zijn verzameld in een specifieke verwerking in het kader van de opsporing, 
maar vervolgens worden gebruikt voor een ander specifiek verwerkingsdoel bin- 
nen het facet van de opsporing.!?? De nieuwe verwerking moet aldus voldoen aan 
de vereisten van artikel 4, tweede lid, Richtlijn 2016/680 (‘bij wet voorzien’, nood- 
zakelijkheid en proportionaliteit). Deze interpretatie geeft minder manoeuvreer- 
ruimte aan de bevoegde autoriteiten voor het verder gebruiken van persoonsgege- 
vens. Als er behoefte is bij de opsporingsautoriteit om gegevens voor een ander 
doel te verwerken, maar een wettelijke basis daarvoor ontbreekt, betekent dat dus 
dat de wetgever aan zet is. 

Concluderend kan dus worden gesteld dat vrij snel aangenomen kan wor- 
den dat er sprake is van een ‘ander doel’. Als de nationale wetgever dit doelafwij- 
kende gebruik wil toestaan, moet daarvoor een wettelijke grondslag worden ge- 
creëerd met waarborgen ter bescherming van de noodzakelijkheid en proportiona- 
liteit van dit doelafwijkende gebruik. 


Welke rol speelt verenigbaarheid in de Richtlijn 2016/680? 


Gelet op de wijze waarop artikel 4 lid 2 Richtlijn 2016/680 is vormgegeven, rijst de 
vraag welke rol de verenigbaarheidstoets in artikel 4 lid 1 sub b Richtlijn 2016/680 


122 Vergelijk De Hert & Sajfert 2021. 
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nog heeft in de Richtlijn 2016/680. Enerzijds is de verenigbaarheidstoets als belang- 
rijk beginsel in de Richtlijn 2016/680 gepresenteerd en lijkt deze toets te moeten 
worden aangelegd voor artikel 4 lid 2 Richtlijn 2016/680 wordt toegepast. Ander- 
zijds is niet duidelijk gemaakt hoe de verenigbaarheidstoets moet worden inge- 
vuld en is artikel 4 lid 2 Richtlijn 2016/680 ook van toepassing als twee doelen ver- 
enigbaar met zijn elkaar, waardoor het belang van de verenigbaarheidstoets sterk 
kan worden gerelativeerd of zelfs overbodig wordt.!?5 Voor zover de verenigbaar- 
heidstoets een rol speelt in de Richtlijn 2016/680, is de inhoud ervan overgelaten 
aan de lidstaten. Als de verenigbaarheidstoets een rol speelt — en hieronder zetten 
wij uiteen hoe deze toets toch van belang is in de Richtlijn 2016/680 — is het dus aan 
de lidstaten om te bepalen welke doelen al dan niet te verenigen zijn. 14 

Mede op basis van de literatuur waarin de hier opgeworpen vraag zijde- 
lings aan bod komt, kunnen onzes inziens twee manieren worden onderscheiden 
waarop de verenigbaarheidstoets wél een rol kan spelen in de Richtlijn 2016/680. 
In de eerste plaats kan artikel 4 lid 2 Richtlijn 2016/680 zo worden uitgelegd dat 
deze bepaling alleen van toepassing is als er sprake is van onverenigbare doelen. 
Steun voor deze lezing kan worden gevonden in artikel 7a van een oudere versie 
van de Richtlijn 2016/680. Hierin was namelijk een met artikel 4 lid 2 Richtlijn 
2016/680 vergelijkbare bepaling opgenomen die specifiek zag op “further proces- 
sing for incompatible purposes”. Als men van deze lezing uitgaat, moet eerst 
worden beoordeeld of al dan niet sprake is van onverenigbaarheid van doelen. Als 
de doelen vervolgens onverenigbaar lijken te zijn, moet artikel 4 lid 2 Richtlijn 
2016/680 worden toegepast. Uitgaande van deze lezing vormt artikel 4 lid 2 Richt- 
lijn 2016/680 een uitzondering op het doelbindingsbeginsel.? Deze eerste interpre- 
tatievariant kan niet worden uitgesloten, maar is niet overtuigend. Artikel 7a van 
een oudere versie van de Richtlijn 2016/680 is uiteindelijk niet in de Richtlijn 
2016/680 terechtgekomen. Hieruit kan dan ook worden afgeleid dat ‘ander doel’ 


123 Zie in deze zin Koning 2020, p. 187. 

124 In het kaderbesluit was dit expliciet in overweging 6 van de considerans opgenomen: 
“Het kaderbesluit laat het aan de lidstaten over om op nationaal niveau met meer nauw- 
keurigheid te bepalen welke andere doeleinden als onverenigbaar moeten worden aan- 
gemerkt met het doel waarvoor de persoonsgegevens aanvankelijk werden verzameld.” 

125 Zie art. 7a van de eerste versie van de Richtlijn 2016/680 (COM(2012)0010), te raadplegen 
via: https://www.europarl.europa.eu/doceo/document/A-7-2013-0403 EN.pdf. 

126 In de AVG is wel uitdrukkelijk erkend dat — in geval van toestemming of een wettelijke 


bepaling een uitzondering kan worden gemaakt op het doelbindingsbeginsel. Zie art. 6 
lid 4 AVG. 
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niet zo moet worden gelezen dat het om een ‘onverenigbaar doel’ gaat.!? Hier 
komt voorts nog bij dat deze interpretatie van artikel 4 lid 2 Richtlijn 2016/680 in 
feite ertoe leidt dat het verwerken van gegevens voor onverenigbare doelen toe- 
laatbaar zou zijn onder de Richtlijn 2016/680, mits aan de voorwaarden van artikel 
4 lid 2 is voldaan. Dat is niet wezensvreemd aan het gegevensbeschermingsrecht. 
In artikel 6 lid 4 AVG zijn weliswaar ook uitzonderingen te vinden op het doelbin- 
dingsbeginsel, maar in het kader van de Richtlijn 2016/680 blijkt nergens uit dat de 
Uniewetgever dat ook onder de Richtlijn 2016/680 ook daadwerkelijk heeft voor- 
gestaan. 

In de tweede plaats zou de verenigbaarheidstoets ook kunnen worden in- 
gelezen in artikel 4 lid 2 Richtlijn 2016/680.!8 Meer specifiek zou de verenigbaar- 
heidstoets kunnen worden betrokken bij de proportionaliteitstoets die artikel 4 lid 
2 Richtlijn 2016/680 voorschrijft. Steun voor deze opvatting kan allereerst worden 
gevonden in de voorganger van de Richtlijn 2016/680 — het Kaderbesluit 
2008/977/JBZ.!°° In artikel 3 lid 2 van dit kaderbesluit was immers — voor zover hier 


van belang — het volgende geregeld: 


“2. Verdere verwerking voor een ander doel is toegestaan, mits 


a) deze verwerking niet onverenigbaar is met het doel waarvoor de gege- 
vens zijn verzameld; 


b) de bevoegde autoriteiten bevoegd zijn om die gegevens te verwerken 
conform de toepasselijke wetsvoorschriften; en 


c) deze verwerking noodzakelijk is en in verhouding staat tot dat doel” 


Bovendien doet deze tweede interpretatievariant — anders dan de eerste interpre- 


tatievariant — beter recht aan de ratio van doelbinding. Zo wordt immers 


127 De rapporteur, Axel Voss, heeft dan ook kritiek uitgeoefend op art. 7a. Volgens hem moe- 
ten persoonsgegevens niet voor onverenigbare doelen kunnen worden verwerkt. Het is 
echter onduidelijk of deze kritiek ook de reden is geweest dat art. 7a niet in de Richtlijn 
2016/680 is terechtgekomen. Zie ook Jasserand 2018a, p. 158, waar zij wijst op onderlinge 
verdeeldheid tussen lidstaten. 

128 De Hert & Sajfert 2021, p. 12 lijken deze interpretatie voor te staan. Ook A-G Sánchez- 
Bordona (Conclusie, 19 mei 2022), (Verenigde Staten/Inspektor v Inspektorata kam Visshia sa- 
deben savet), C-180/21, ECLI:EU:C:2022:406 lijkt hiervan uit te gaan. Hij past niet eerst de 
verenigbaarheidstoets toe voordat hij aan toepassing van art. 4 lid 2 Richtlijn 2016/680 
toekomt. 

129 Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van 
persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samen- 
werking in strafzaken. 
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voorkomen dat gegevens steeds voor een ander doel verwerkt worden, zonder dat 


dit voldoende voorzienbaar is voor betrokkene. 


3.2.1.3 Dataminimalisatie (minimale gegevensverwerking) 


Het beginsel van dataminimalisatie is opgenomen in artikel 4 eerste lid, sub c, 
Richtlijn 2016/680 en stelt dat persoonsgegevens toereikend, ter zake dienend en 
niet bovenmatig moeten zijn in verhouding tot de doeleinden waarvoor zij worden 
verwerkt.!5° Aan de hand van het verwerkingsdoeleinde moeten de bevoegde au- 
toriteiten beoordelen welke persoonsgegevens mogen worden verwerkt voor het 
bereiken van dat doel. Dit beginsel is dan ook verwant aan het doelbindingsbegin- 
sel.131 

Het beginsel van minimale gegevensverwerking kan op gespannen voet 
staan met het analyseren van bulkgegevens die zijn verzameld in de opsporing.!* 
Het aan dataminimalisatie verwante uitgangspunt van ‘select-before-you-col- 
lect’!55 laat zich namelijk moeilijk rijmen met het doorzoeken van bulkgegevens die 
zijn vergaard op grond van het principe van ‘collect-before-you-select’ 34 Daarbij 
is natuurlijk wel van belang hoe specifiek die verwerkingsdoeleinden in de context 
van de Richtlijn 2016/680 moeten worden geformuleerd. Hoe ruimer de doeleinden 
mogen worden geformuleerd, des te meer gegevens nodig zijn om die doeleinden 
te kunnen verwezenlijken, waardoor meer persoonsgegevens mogen worden ver- 
zameld. 

Bovendien is dataminimalisatie in de Richtlijn 2016/680 minder streng ge- 
formuleerd dan in de AVG. Die laatste vereist dat persoonsgegevens “toereikend 


zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waar- 
voor zij worden verwerkt” (zie artikel 5 eerste lid, sub c, AVG). De Richtlijn 
2016/680 is een stuk soepeler: “[persoonsgegevens] moeten toereikend, ter zake 
dienend en niet bovenmatig [zijn] in verhouding tot de doeleinden waarvoor zij 
worden verwerkt” (artikel 4, eerste lid, sub c, Richtlijn 2016/680).155 Dat gegevens 


130 De verwerkingsverantwoordelijke moet ervoor zorgen dat dit beginsel ook bij het ont- 
werp en de standaardinstellingen in ogenschouw wordt genomen (artikel 20 Richtlijn 
2016/680). 

131 Zie ook WRR 2016, p. 109; Koning 2020, p. 67; De Hert & Sajfert 2021, p. 13; Coudert 2017, 
p. 316. 

132 Zie ook Bas Seyyar & Geradts 2020, p. 5 en 7. 

133 Zwenne & Schmidt 2016, p. 343. 

134 WRR 2016, p. 56 en 109. 

135 De Hert & Sajfert 2021, p. 13; Sajfert & Quintel 2019, p. 6; Foivi Mouzakiti 2020, p. 366; 
Alves Hendriques 2021. Vergelijk ook Koning 2020, p. 107; Bas Seyyar & Geradts 2020, p. 
7. Zie anders Von Grafenstein 2018, p. 242; Van Hoboken 2016, p. 238. 
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niet bovenmatig mogen zijn, impliceert een minder zware bewijslast voor de be- 
voegde autoriteit.°° Deze hoeft de verwerking van persoonsgegevens niet te be- 
perken tot wat absoluut noodzakelijk is. Op deze manier heeft hij meer beoorde- 
lingsvrijheid ten aanzien van de persoonsgegevens die hij verwerkt? Tegelijker- 
tijd wordt door het criterium ‘niet bovenmatig’ voorkomen dat de bevoegde auto- 
riteiten persoonsgegevens verzamelen voor ‘het geval dat’.'®® Dit zorgt voor een 
evenwicht tussen het belang van de opsporing en de bescherming van persoons- 
gegevens. Bovendien doet een wat ruimere uitleg van dataminimalisatie ook beter 
recht aan het gegeven dat opsporingsautoriteiten niet altijd op voorhand precies 
kunnen weten welke persoonsgegevens zij al dan niet gaan verwerken. Dit is onder 
de AVG anders. 

De beginselen doelbinding en dataminimalisatie komen ook terug in arti- 
kel 6 Richtlijn 2016/680. Daarin bepaalt de Uniewetgever dat lidstaten moeten 
voorschrijven dat “de verwerkingsverantwoordelijke, in voorkomend geval en 


voor zover mogelijk, een duidelijk onderscheid maakt tussen persoonsgegevens 


betreffende verschillende categorieën van betrokkenen”. Een dergelijke verplich- 
ting kan bij het doorzoeken van bulkgegevens problematisch zijn. Aan de andere 
kant geeft de Uniewetgever wel enige ruimte aan de opsporingsautoriteiten. De 
Richtlijn 2016/680 geeft immers niet aan op welk moment in het gegevensverwer- 
kingsproces het onderscheid tussen verschillende categorieën van betrokkenen 
moet worden gemaakt. Ook geeft de Uniewetgever aan dat dit onderscheid moet 


worden gemaakt, voor zover dat mogelijk is. 


3.2.1.4 Juistheid 


In artikel 4 eerste lid, sub d, Richtlijn 2016/680 bepaalt de Uniewetgever dat per- 
soonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. 
Voorts moeten alle redelijke maatregelen worden genomen om persoonsgegevens 
die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld 
te wissen of te rectificeren. Dit beginsel is verder uitgewerkt in artikel 7 Richtlijn 
2016/680. Dit artikel regelt de kwaliteit (of juistheid) van persoonsgegevens. Inge- 
volge dit artikel moeten de lidstaten erin voorzien dat “persoonsgegevens die op 
feiten zijn gebaseerd, voor zover mogelijk worden onderscheiden van persoonsge- 
gevens die op een persoonlijk oordeel zijn gebaseerd” (lid 1). In de overwegingen 
horende bij dit artikel zegt de Uniewetgever het volgende: “Het beginsel van 


136 De Hert & Sajfert 2021, p. 13. 
137 Zie ook Sajfert & Quintel 2019. 
138 De Hert & Sajfert 2021, p. 14. 
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juistheid van gegevens moet worden toegepast met inachtneming van de aard en 
het doel van de verwerking in kwestie. In het bijzonder bij gerechtelijke procedures 
zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve per- 
ceptie van natuurlijke personen en niet altijd te controleren. Het vereiste van juist- 
heid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, 
maar alleen op het feit dat een specifieke verklaring is afgelegd” (overweging 30 
Richtlijn 2016/680). Daarnaast moeten de opsporingsautoriteiten “ervoor zorgen 
dat persoonsgegevens die onjuist, onvolledig of niet langer actueel zijn, niet wor- 
den doorgezonden of beschikbaar gesteld.” “Om de bescherming van natuurlijke 
personen en de juistheid, de volledigheid of mate waarin de persoonsgegevens ac- 
tueel zijn en de betrouwbaarheid van de doorgezonden of beschikbaar gestelde 
persoonsgegevens te waarborgen, dienen de bevoegde autoriteiten voor zover mo- 
gelijk bij elke doorzending van persoonsgegevens de noodzakelijke informatie toe 
te voegen” (artikel 7 tweede lid, en overweging 32 Richtlijn 2016/680). Blijkens ar- 
tikel 7, derde lid, Richtlijn 2016/680 moet de opsporingsautoriteit — indien blijkt dat 
onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op on- 
rechtmatige wijze zijn doorgezonden — de ontvanger daarvan onverwijld in kennis 
stellen. Dit artikel is daarmee een goed voorbeeld van een verwerkingsbeginsel dat 
is toegesneden op de context van de opsporing, en waarin is getracht een even- 
wicht te zoeken tussen de belangen van de opsporing en de bescherming van per- 
soonsgegevens van de betrokkene.!9? 


3.2.1.5 Opslagbeperking 


In artikel 4, eerste lid, sub e, Richtlijn 2016/680 is het beginsel van opslagbeperking 
neergelegd. Het beginsel van opslagbeperking veronderstelt dat ‘persoonsgege- 
vens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet 
langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de per- 
soonsgegevens worden verwerkt” Dit komt erop neer dat persoonsgegevens niet 
langer worden bewaard dan nodig voor het realiseren van de doeleinden waarvoor 
zij zijn verwerkt. Het verwerkingsdoeleinde is daarmee bepalend voor de periode 
waarin persoonsgegevens herleidbaar mogen worden bewaard.“ Doordat het ver- 
werkingsdoeleinde het referentiepunt is voor de opslagperiode, is dit beginsel net 


als het beginsel van dataminimalisatie verwant aan het beginsel van 


139 Zie bijvoorbeeld De Hert & Papakonstantinou 2016, p. 11. 
140 Geanonimiseerde gegevens mogen op basis van artikel 4 eerste lid, sub e, en artikel 5 
Richtlijn 2016/680 dus wel voor een onbepaalde periode worden opgeslagen. 
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doelbinding.* In artikel 5 Richtlijn 2016/680 wordt het beginsel van opslagbeper- 
king nader uitgewerkt. In tegenstelling tot de AVG vereist de Richtlijn 2016/680 dat 
de lidstaten concrete bewaartermijnen vaststellen? Dit geeft meer rechtszeker- 


heid aan de betrokkene. 


3.2.1.6 Integriteit en vertrouwelijkheid 


Op grond van artikel 4, eerste lid, onder f, Richtlijn 2016/680 mogen de persoons- 
gegevens door de bevoegde autoriteit alleen ‘met gebruikmaking van passende 
technische of organisatorische middelen op een dusdanige manier worden ver- 
werkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd 
zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk ver- 
lies, vernietiging of beschadiging.’ Dit beginsel komt erop neer dat de vertrouwe- 
lijkheid, integriteit en de beschikbaarheid van de persoonsgegevens moeten wor- 
den gewaarborgd. Daartoe moeten passende technische en organisatorische 
maatregelen worden genomen om een op het risico afgestemd beveiligingsniveau 
te waarborgen (artikel 29 Richtlijn 2016/680). Bij het bepalen van de passende maat- 
regelen wordt onder meer rekening gehouden met ‘de stand van de techniek, de 
uitvoeringskosten in verband met de risico's en de aard van de te beschermen per- 
soonsgegevens.’!#4 Ook dient ‘aandacht te worden besteed aan de risico's die zich 
voordoen bij gegevensverwerking, zoals de vernietiging, het verlies, de wijziging 
of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorge- 
zonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk 
hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële 
schade kan leiden.”145 

De Richtlijn 2016/680 geeft op gedetailleerde wijze aan welke maatregelen 
de lidstaten aan de verwerkingsverantwoordelijke minimaal moeten voorschrijven 
(artikel 29 lid 2 Richtlijn 2016/680). Zo schrijft de Richtlijn 2016/680 bijvoorbeeld 
voor dat de verwerkingsverantwoordelijke maatregelen treft om ‘te verhinderen 
dat onbevoegden toegang krijgen tot verwerkingsapparatuur’ (sub a); ‘te verhin- 
deren dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijde- 
ren’ (sub b) of ‘ervoor te zorgen dat personen die bevoegd zijn om een geautoma- 
tiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de 


141 Zie ook Brouwer 2011, p. 281. 

142 Leiser & Custers 2019, p. 372. 

143 Zie ook artikel 7 lid 2 Richtlijn 2016/680. 
144 Overweging 28 Richtlijn 2016/680. 

145 Overweging 60 Richtlijn 2016/680. 
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persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft’ (sub e). 
Een andere specifieke maatregel is dat de lidstaten erin voorzien dat er logbestan- 
den worden bijgehouden van de volgende verwerkingen: verzameling, wijziging, 
raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en 


wissing. 46 
3.2.2 Toezicht op naleving van de Richtlijn 2016/680 


Toezicht op de verwerking van persoonsgegevens is een essentiële component van 
een doeltreffende bescherming van persoonsgegevens!” Dit toezicht vindt op in- 
terne wijze plaats door de functionaris voor gegevensbescherming (FG) en op ex- 
terne wijze door een onafhankelijke toezichthouder. Hoewel het aanwijzen van een 
FG en een onafhankelijke autoriteit ingevolge de Richtlijn 2016/680 verplicht is 
voor de lidstaten, maakt de Richtlijn 2016/680 niet duidelijk in hoeverre deze toe- 
zichthouders een rol als poortwachter bij het verder gebruik van persoonsgegevens 
kunnen en moeten vervullen. Hieronder staan wij kort stil bij beide toezichtmoda- 


liteiten. 


3.2.2.1 Functionaris gegevensbescherming 


De lidstaten schrijven voor dat de verwerkingsverantwoordelijke een functionaris 
voor gegevensbescherming aanwijst (artikel 32 Richtlijn 2016/680). De functionaris 
voor gegevensbescherming wordt tijdig en naar behoren betrokken bij alle aange- 
legenheden die met de bescherming van persoonsgegevens verband houden (arti- 
kel 33 Richtlijn 2016/680). De functionaris moet zijn taken en verplichtingen onaf- 
hankelijk in overeenstemming met het lidstatelijke recht kunnen uitvoeren.“ Vol- 
gens artikel 34 Richtlijn 2016/680 heeft de functionaris voor gegevensbescherming 
de volgende taken: 

a) Informeren en adviseren van de verwerkingsverantwoordelijke en de 
werknemers die verwerking verrichten over hun verplichtingen op 
grond van deze richtlijn en andere gegevensbeschermingsbepalingen 
van het Unierecht of het lidstatelijke recht; 

b) Toezien op de naleving van deze richtlijn, van andere gegevensbe- 
schermingsbepalingen van het Unierecht of het lidstatelijke recht en 


146 Artikel 25 Richtlijn 2016/680. 

147 HvJ EU 6 oktober 2015, C-362/14, ECLI:EU:C:2015:650 (Schrems); HvJ EU 15 juni 2021, 
C-645/19, ECLI:EU:C:2021:483 (Facebook/Gegevensbeschermingsautoriteit). Zie ook Caruana 
2017, p. 257 en 259. 

148 Overweging 63 Richtlijn 2016/680. 
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van het beleid van de verwerkingsverantwoordelijke met betrekking 
tot de bescherming van persoonsgegevens, met inbegrip van de toewij- 
zing van verantwoordelijkheden, bewustmaking en opleiding van het 
bij de verwerking betrokken personeel en de betreffende audits; 

c) Desgevraagd advies verstrekken met betrekking tot de gegevensbe- 
schermingseffectbeoordeling en toezien op de uitvoering daarvan in 
overeenstemming met artikel 27 Richtlijn 2016/680; 

d) Met de toezichthoudende autoriteit samenwerken; 

e) Optreden als contactpunt voor de toezichthoudende autoriteit inzake 
verwerkingsaangelegenheden, met inbegrip van de in artikel 28 be- 
doelde voorafgaande raadpleging, en, voor zover dienstig, overleg ple- 
gen met betrekking tot enige andere aangelegenheid. 


3.2.2.2 Onafhankelijke toezichthouder 


De Richtlijn 2016/680 bepaalt dat elke lidstaat erin voorziet dat één of meer onaf- 
hankelijke overheidsinstanties worden belast met het toezicht op de toepassing 
van de Richtlijn 2016/680 (artikel 41 Richtlijn 2016/680). Voor de bescherming van 
natuurlijke personen acht de Uniewetgever het van wezenlijk belang dat in de lid- 
staten toezichthoudende autoriteiten worden ingesteld die hun taken volstrekt on- 
afhankelijk uitvoeren. !# 

De toezichthoudende autoriteit heeft op grond van artikel 46 en 47 Richt- 
lijn 2016/680 een aantal taken en bevoegdheden. Die bevoegdheden betreffen on- 
derzoeksbevoegdheden, het treffen van corrigerende maatregelen en adviesbe- 
voegdheden. De toezichthouder heeft op grond van de Richtlijn 2016/680 minder 
taken en bevoegdheden dan hij heeft op grond van de AVG." Anders dan de AVG 
verplicht de Richtlijn 2016/680 de lidstaten niet om bepaalde handhavingsbe- 
voegdheden toe te bedelen aan de toezichthouder.!°! Dit verschil tussen de Richt- 
lijn 2016/680 en de AVG zou kunnen betekenen dat de toezichthouder meer terug- 
houdend moet zijn bij het corrigeren van de opsporingsautoriteiten.!5* Wel merken 
wij op dat de Uniewetgever het in artikel 47 Richtlijn 2016/680 uiteindelijk aan de 
nationale wetgever laat om te bepalen welke bevoegdheden hij aan de 


149 Overweging 75 Richtlijn 2016/680. 

150 Zie ook Werkgroep Artikel 29, ‘Advies inzake een aantal belangrijke aandachtspunten 
van de richtlijn gegevensbescherming bij rechtshandhaving (Richtlijn (EU) 2016/680)’, 
WP 258, ec.europe.eu 7 december 2017, p. 36; Caruana 2017, p. 259; De Hert & Sajfert 2018, 
p. 250. 

151 Kamerstukken II 2017/18, 34889, nr. 6, p. 24 en 25. 

152 De Hert & Sajfert 2018, p. 252. 
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toezichthouder wil geven ten opzichte van de opsporingsautoriteiten.®® Op grond 
van artikel 47 Richtlijn 2016/680 moeten die bevoegdheden ‘effectief’ zijn. * Die eis 
van ‘effectiviteit’ kan met zich meebrengen dat de nationale wetgever alsnog de- 
zelfde bevoegdheden aan de toezichthouder ten opzichte van opsporingsautoritei- 
ten moet geven als die zij hebben onder de AVG.'55 
Blijkens artikel 26 Richtlijn 2016/680 schrijven de lidstaten voor dat de ver- 

werkingsverantwoordelijke en de verwerker desgevraagd met de toezichthou- 
dende autoriteit samenwerken bij het vervullen van haar taken. Onduidelijk is wat 
wordt bedoeld met de term ‘desgevraagd’; gaat het nu om een verzoek van de toe- 
zichthouder of om een verzoek van de verwerkingsverantwoordelijke? 156 

Ingevolge artikel 28 Richtlijn 2016/680 voorzien de lidstaten erin dat de ver- 
werkingsverantwoordelijke of de verwerker de toezichthoudende autoriteit raad- 
pleegt voordat de verwerking van persoonsgegevens ‘in een nieuw bestand zal 
worden opgenomen’. De toezichthoudende autoriteit moet worden geraadpleegd 
indien: 

a) uit een gegevensbeschermingseffectbeoordeling als bedoeld in arti- 
kel 27 blijkt dat de verwerking een hoog risico zou opleveren indien de 
verwerkingsverantwoordelijke geen maatregelen neemt om het risico 
te beperken; 

b) de aard van de verwerking, in het bijzonder wanneer wordt gebruik- 
gemaakt van nieuwe technologieën, mechanismen of procedures, een 
hoog risico voor de rechten en vrijheden van betrokkenen met zich 


meebrengt. 


Uit artikel 47 derde lid Richtlijn 2016/680 volgt dat de voorafgaande raadpleging 
in het kader van artikel 47 Richtlijn 2016/680 een adviesbevoegdheid betreft? De 
Richtlijn 2016/680 geeft tevens enkele gezichtspunten of er sprake is van een ‘hoog 
risico’: de aard, de reikwijdte, de context en de doeleinden van de 


153 De Hert & Sajfert 2018, p. 251. 

154 Vergelijk ook HvJ EU 6 oktober 2015, C-362/14, ECLI:EU:C:2015:650 (Schrems), punt 81. 

155 Werkgroep Artikel 29, ‘Advies inzake een aantal belangrijke aandachtspunten van de 
richtlijn gegevensbescherming bij rechtshandhaving (Richtlijn (EU) 2016/680)’, WP 258, 
ec.europe.eu 7 december 2017, p. 36. Zie ook De Hert & Sajfert 2018, p. 253. 

156 De Engelse tekst luidt als volgt: “Member States shall provide for the controller and the 
processor to cooperate, on request, with the supervisory authority in the performance of 
its tasks on request.” 

157 Zie ook Jasserand 2018b, p. 162. 
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gegevensverwerking moeten daarbij helpen.!58 Of de beoordeling of een verdere 
verwerking een hoog risico oplevert moet per geval worden bekeken? 

Jasserand vindt artikel 28 Richtlijn 2016/680 geen voldoende procedurele 
waarborg tegen eventueel misbruik van het gebruik van persoonsgegevens voor 
een ander doel. De bepaling vereist alleen een voorafgaande raadpleging - en niet 
een voorafgaande beslissing - van de onafhankelijke autoriteit of de verwerking 
voor een ander doel is toegestaan. 1 Bovendien is die voorafgaande raadpleging 
van de onafhankelijke toezichthouder afhankelijk van de invulling van het begrip 
‘hoog risico’. Zij merkt wel op dat het disproportioneel zou kunnen zijn als de op- 
sporingsautoriteit telkens een verzoek zou moeten doen voor een voorafgaande 


toetsing door een toezichthoudende autoriteit. 


3.23 Tussenconclusie 


In de Richtlijn 2016/680 heeft de Uniewetgever een evenwicht gezocht tussen ener- 
zijds de bescherming van persoonsgegevens en anderzijds de belangen van de op- 
sporing. De uitwerking van de beginselen van de Richtlijn 2016/680 en de bepa- 
lingen aangaande toezicht en rechtsbescherming zijn daarom flexibeler dan hun 
tegenhangers in de AVG. Tegelijkertijd bestaat onduidelijkheid over sommige be- 
palingen. Met name het antwoord op de vraag op welke wijze moet worden ge- 
toetst of de verwerking van persoonsgegevens voor een ander doel toelaatbaar is, 
wordt in de Richtlijn 2016/680, de totstandkomingsgeschiedenis van de Richtlijn 
2016/680 en literatuur over de Richtlijn 2016/680 niet helder uiteengezet. Het ant- 
woord op die vraag is belangrijk, omdat dit aangeeft in hoeverre de opsporingsau- 
toriteit persoonsgegevens verder mag gebruiken. Voorts schrijft de Richtlijn 
2016/680 voor dat er toezicht moet bestaan op de gegevensverwerking door de op- 
sporingsautoriteit. Dit toezicht dient zowel op intern als op extern niveau plaats te 
vinden. Tegelijkertijd is de Richtlijn 2016/680 ook op dit punt weinig concreet, an- 
ders dan dat de bevoegdheden van de toezichthouder ‘effectief’ moeten zijn. Het 
is daarom de vraag of de Richtlijn 2016/680 voldoende procedurele waarborgen 
biedt tegen eventueel misbruik door de opsporingsautoriteit. 


158 Overweging 52 Richtlijn 2016/680. 

159 Jasserand 2018b, p. 161. De AVG daarentegen geeft aanwijzingen over welke specifieke 
gegevensverwerkingen een ‘hoog risico’ opleveren (artikel 35 lid 3 AVG). 

160 Jasserand 2018b, p. 162. 
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3.3 ARTIKEL 8 EVRM 


Artikel 8 EVRM biedt bescherming aan het recht op privéleven, het familieleven, 
de woning en correspondentie. Deze vier rechten worden vaak onder de noemer 
privacy gebracht. Mede vanwege de ruime uitleg die het EHRM aan het recht op 
privacy geeft, bestrijkt het recht een breed scala aan onderwerpen. Een van deze 
onderwerpen betreft surveillance, waaronder wordt verstaan de vergaring en ver- 
werking van gegevens ter bestrijding van (ernstige) criminaliteit en/of de bescher- 
ming van de nationale veiligheid. Het EHRM heeft zich inmiddels uitgelaten over 
verschillende surveillance-methoden, zoals het opbouwen van politionele gege- 
vensbanken, inbeslagneming, het onderscheppen van communicatie en daaraan 
gerelateerde gegevens en locatiebepaling. Deze jurisprudentie is veelomvattend en 
doorgaans casuïstisch van aard. Het EHRM beoordeelt normaliter enkel of de ge- 
hanteerde methode inbreuk maakt op het recht op privacy en — indien dat het geval 
is — of die inbreuk kan worden gerechtvaardigd. 

Een en ander neemt echter niet weg dat het EHRM via vooropstellingen 
in algemene overwegingen en het vergelijken van feitencomplexen invulling geeft 
aan de afbakening van artikel 8 EVRM alsmede de eisen en waarborgen waaraan 
moet zijn voldaan als inbreuk is gemaakt op het recht op privacy.'®! Bovendien 
heeft het EHRM in zijn rechtspraak over surveillance geaccepteerd dat niet alleen 
over de inzet van een specifieke methode in een bepaald geval, maar ook over het 
bestaan van wetgeving betreffende deze methode kan worden geklaagd.'f? Voor 
een burger kan het immers moeilijk aan te tonen zijn dat hij in de zin van het EVRM 
slachtoffer is van een heimelijke surveillancebevoegdheid.® Het EHRM heeft in 
dit licht een uitzondering gecreëerd op het uitgangspunt dat alleen slachtoffers 
mogen klagen over potentiële EVRM-schendingen.'* Mede door deze uitzonde- 
ring heeft het EHRM zich in meer algemene zin uitgelaten over de vraag wanneer 


161 Zie voor een chronologische bespreking van de relevante jurisprudentie De Hert en Mal- 
gieri 2021. 

162 Dat is voor het eerst gebeurd in EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakha- 
rov/ Rusland). 

163 Artikel 34 jo. 35, derde lid, onder b EVRM. 

164 Zie in dit kader o.a. Van der Sloot 2020; Van der Sloot & Kosta, par. III. De ‘quality of law 
doctrine’ stelt het Hof in staat te toetsen of landen in hun nationale wetgeving voldoende 
waarborgen hebben opgenomen waarin de machtsoverdracht van de wetgevende naar 
de uitvoerende macht aan voorwaarden en grenzen wordt gebonden inzake het verza- 
melen, opslaan en verwerken van gegevens, en of afdoende juridische en parlementaire 
controle mogelijk is op het gebruik van de bevoegdheden door de uitvoerende macht. 
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surveillance-methoden inbreuk maken op het recht op privacy en welke eisen daar- 
aan moeten worden gesteld. 

In het hiernavolgende wordt nader ingegaan op de relevante rechtspraak 
van het EHRM inzake surveillance. Het doel van deze bespreking is om in kaart te 
brengen welke richtsnoeren uit deze jurisprudentie kunnen worden afgeleid voor 
wat betreft de normering van onderzoek aan gegevens voor strafvorderlijke doel- 
einden. Daartoe zal nader worden ingegaan op de jurisprudentie inzake politionele 
en justitiële gegevensbanken en het onderscheppen en verder verwerken van com- 


municatie en daaraan gerelateerde gegevens. 


33.1 Politionele en justitiële databanken 
3.3.1.1 Inbreuk 


Sinds de jaren 1980 is duidelijk dat het opslaan van gegevens door de politie onder 
het bereik van artikel 8 EVRM kan vallen indien die gegevens het privéleven ra- 
ken.!6 De vraag wanneer precies sprake is van gegevens die het privéleven raken 
beoordeelt het EHRM aan de hand van een aantal factoren: 1) de (juridische) aard 
van de gegevens; 2) hetgeen uit de gegevens kan worden afgeleid, 3) de context 
waarin de gegevens zijn verkregen en worden opgeslagen en 4) de wijze waarop 
de gegevens worden gebruikt.!66 

Op basis van bovenstaande factoren beoordeelt het EHRM telkens op ca- 
suïstische wijze of een verwerking met gegevens onder het bereik van artikel 8 
EVRM valt. Toch vallen in de jurisprudentie wel enkele algemene lijnen te ontwa- 


ren. Een belangrijke notie bij de beoordeling van deze factoren is het recht op 


165 EHRM 26 maart 1987, nr. 9248/81 (Leander/Zweden), par. 48. Zie eerder ook EHRM 6 sep- 
tember 1978, nr. 5029/71 (Klass e.a./Duitsland), par. 41. Het EHRM oordeelde in deze zaak 
voor het eerst dat, hoewel telefoongesprekken niet uitdrukkelijk worden genoemd in ar- 
tikel 8, eerste lid, EVRM, deze gesprekken vallen onder de begrippen ‘privéleven’ en ‘cor- 
respondentie’. Het afluisteren hiervan door de Duitse overheid, betrof dan ook een in- 
breuk op de privacy. 

166 EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/Verenigd Koninkrijk), NJ 2009/410, 
m.nt. Alkema, NTM/NJCM-bull. 2009, p. 391 en m.nt. Van der Staak, par. 67. Zie ook 
EHRM 25 september 2001, nr. 44787/98 (P.G. & J.H./Verenigd Koninkrijk), NJ 2003/670, 
m.nt. Dommering, par. 24-25; EHRM 28 januari 2003, nr. 44647/98 (Peck/Verenigd Konink- 
rijk), par. 57-59; EHRM 17 juli 2003, nr. 63737/00 (Perry/Verenigd Koninkrijk), NJ 2006/40, 
m.nt. Dommering, par. 38 en EHRM 18 oktober 2016, nr. 61838/10 (Vukota-Bojié /Zwitser- 
land), AB 2017/418, m.nt. Schuurmans & Uzman, par. 54-56. 
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informatieve zelfbeschikking.'®? Zo kunnen bepaalde gegevens op zichzelf welis- 
waar neutraal zijn, maar bij het collectief verzamelen en verwerken en verspreiden 
toch veel informatie verschaffen over het persoonlijke leven van een individu. Het 
vergaren en analyseren van deze neutrale gegevens raakt dan de autonomie van 
een persoon. Als het gaat om de verwerking van gevoelige persoonsgegevens zoals 
medische gegevens, gegevens waaruit iemands etniciteit blijkt of gegevens over 
iemands strafrechtelijk verleden, dan vallen deze zonder meer onder het bereik 
van artikel 8 EVRM.'® De (juridische) aard van de gegevens is echter niet de enige 
factor die van belang is. Het EHRM is nooit zover gegaan dat het onder artikel 8 
EVRM een recht op de bescherming van persoonsgegevens heeft erkend.'6° Het 
object van bescherming van artikel 8 EVRM zijn gegevens die het privéleven raken 
en niet persoonsgegevens. De kwalificatie persoonsgegevens betekent dus niet 
zonder meer dat ook het recht op privacy als bedoeld in artikel 8 EVRM van toe- 
passing is.!® Voor het EHRM zijn de overige factoren belangrijker. 

De vraag wát uit de gegevens over iemand kan worden afgeleid, is aldus 
een belangrijke indicator. Daarbij tracht het EHRM te differentiëren in verschil- 
lende typen gegevens. Zo ziet het EHRM voor wat betreft de ernst van de privacy- 
inbreuk verschil tussen verwerkingen met betrekking tot identificerende gege- 


vens,!7! locatiegegevens!”? en communicatiegegevens. Uit identificerende gegevens 


167 EHRM 30 januari 2020, nr. 50001/12 (Breyer/Duitsland); EHRM 27 juni 2017, nr. 931/13 
(Satakunnan Markkinapörssi Oy and Satamedia Oy/Finland), par. 136 en137 (en verwijzingen 
hierin). (“It further follows from the Court’s well-established case-law that where there 
has been a compilation of data on a particular individual, the processing or use of per- 
sonal data or publication of the material concerned in a manner or degree beyond that 
normally foreseeable, private life considerations arise. Article 8 of the Convention thus 
provides for the right to a form of informational self-determination, allowing individuals 
to rely on their right to privacy as regards data which, albeit neutral, are collected, pro- 
cessed and disseminated collectively and in such form or manner that their Article 8 
rights may be engaged [...]”). 

168 EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/Verenigd Koninkrijk), NJ 2009/410, 
m.nt. Alkema, NTM/NJCM-bull. 2009, p. 391, m.nt. Van der Staak, par. 66 en 76; EHRM 4 
mei 2000, nr. 28341/95 (Rotaru), par. 43-44, EHRC 2000/53, m.nt. Brems; EHRM 13 novem- 
ber 2012, nr. 24029/07, (M.M./Verenigd Koninkrijk), par. 188. 

169 Gonzalez Fuster 2014, p. 99; De Hert en Gutwirth 2009, p. 24-26. 

170 EHRM 18 oktober 2011, nr. 16188/07 (Khelili/Zwitserland), par. 55. 

171 In EHRM 30 januari 2020, nr. 50001/12 (Breyer/Duitsland), par. 92-94 merkt het EHRM de 
opslag van identificerende gegevens door telecommunicatieaanbieders als een beperkte 
inbreuk op artikel 8 EVRM aan, onder meer omdat de gegevens geen hoog-persoonlijke 
informatie bevatten. 

172 In EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland), par. 53 zet het EHRM het ver- 


garen van locatiegegevens door de politie af tegen vanuit privacy oogpunt verdergaande 
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en locatiegegevens kan doorgaans een minder diepgaand beeld van iemands pri- 
véleven worden afgeleid dan uit communicatiegegevens. 

Voorts is voor het EHRM ook van belang op welke wijze de gegevens 
kunnen worden benut. Door de opslag van gegevens wordt immers de mogelijk- 
heid gecreëerd om later — eventueel aangevuld met andere gegevens of op basis 
van nieuwe technologieën — een beeld van iemands privéleven te verkrijgen. In 
verschillende zaken oordeelde het EHRM immers dat de opslag van gegevens 
reeds voldoende is voor het aannemen van een inbreuk op het recht op privacy, 
ook als de gegevens niet worden gebruikt. Illustratief in dit verband is het arrest 
Gaughran/ Verenigd Koninkrijk.'74 Hierin oordeelde het EHRM dat het nemen en het 
opslaan van een foto van een verdachte in een politiedatabank inbreuk maakt op 
het recht op privacy. Voor het vaststellen van de inbreuk was in het bijzonder van 
belang dat de foto werd opgeslagen in een databank omdat de foto hiermee be- 
schikbaar blijft voor verder gebruik.!?5 De foto kan in toekomstige onderzoeken of 
voor andere doeleinden (bijvoorbeeld gezichtsherkenningstechnologie) worden 
gebruikt. Deze rechtspraak laat aldus zien dat het creëren van de mogelijkheid om 
gegevens verder te verwerken of te gebruiken vaak een inbreuk op het recht op 
privacy oplevert. Hoewel het EHRM in deze rechtspraak niet over doelspecificatie 
of -binding rept, komt hierin wel duidelijk naar voren dat het EHRM bij de vraag 
of inbreuk is gemaakt rekening houdt met de vraag in hoeverre doelafwijkend ge- 
bruik mogelijk is.!76 

Kortom, op basis van bovenstaande dynamische factoren heeft het EHRM 
verschillende handelingen van de politie met gegevens onder het bereik van artikel 
8 EVRM gebracht. De casuïstische toets van het EHRM heeft er onder meer toe 


geleid dat de politionele en/of justitiële verwerking van communicatiegegevens,!”” 


inbreuken zoals het vergaren van communicatiegegevens. Vgl. ook EHRM 8 februari 
2018, nr. 31446/12 (Ben Faiza/Frankrijk), waarin het EHRM zijn standpunt uit Uzun her- 
haalt, hoewel het EHRM in Ben Faiza weinig oog lijkt te hebben voor de verschillen in 
het feitencomplex. 

173 Zie onder meer EHRM 26 maart 1987, nr. 9248/81 (Leander/Zweden); EHRM (GK) 16 fe- 
bruari 2000, nr. 27798/95 (Amann/Zwitserland); EHRM (GK) 4 mei 2000, nr. 28341/95 (Ro- 
taru/Roemenië). 

174 EHRM 13 februari 2020, nr. 45245/15 (Gaughran/UK), EHRC 2020/86, m.nt. Van der Sloot. 

175 EHRM 13 februari 2020, nr. 45245/15 (Gaughran/UK), par. 70, EHRC 2020/86, m.nt. Van 
der Sloot. 

176 In dezelfde zin Von Grafenstein 2018, p. 188-190, 194; Koning 2020, p. 145-150. 

177 EHRM 6 september 1978, nr. 5029/71 (Klass e.a./Duitsland); EHRM 1 juli 2008, nr.58243/00 
(Liberty e.a./ Verenigd Koninkrijk); EHRM 12 januari 2016, nr. 37138/14 (Szabó & Vissy/Hon- 
garije). 
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locatiegegevens!”® en gegevens over iemands bewegingen in de publieke ruimte!” 
onder het bereik van artikel 8 EVRM vallen. In het algemeen legt het EHRM de lat 
voor de beoordeling van de vraag of het recht op privéleven wordt getroffen niet 
hoog. Zodra de politie persoonsgegevens opslaat — ook al worden deze gegevens 
niet gebruikt — wordt al een inbreuk op het recht op privacy aangenomen. Door het 
opslaan van de gegevens wordt immers de mogelijkheid gecreëerd om later —even- 
tueel aangevuld met andere gegevens of op basis van nieuwe technologieën — een 


beeld van iemands privéleven te verkrijgen. 


3.3.1.2 Gerechtvaardigde inbreuk 


Volgens artikel 8 lid 2 EVRM is een inbreuk gerechtvaardigd als deze bij wet is 
voorzien, een legitiem doel dient, en noodzakelijk is in een democratische samen- 
leving. Deze drie stappen zijn echter niet altijd strikt van elkaar te scheiden. In S. 
en Marper/Verenigd Koninkrijk overwoog het EHRM bijvoorbeeld dat “these questions 
[inzake de voorzienbaarheid van het recht, onze toevoeging] are in this case closely related 
to the broader issue of whether the interference was necessary in a democratic society” .180 
Wel valt op dat het EHRM voor wat betreft de vraag of de inbreuk kan worden 
gerechtvaardigd veel waarde toekent aan de in het nationale recht neergelegde 
waarborgen die misbruik moeten voorkomen. Deze eisen die het EHRM heeft af- 
geleid uit het noodzakelijkheids-, proportionaliteits- en subsidiariteitsbeginsel zijn 
nauw verwant aan de tegenwoordig geldende gegevensbeschermingsrechtelijke 
beginselen. Hierbij kan worden gedacht aan doelspecificatie, doelbinding, opslag- 
beperking, dataminimalisatie en de vertrouwelijkheid en integriteit van gege- 
vens.!ë! Als aan deze gegevensbeschermingsrechtelijke beginselen is voldaan, zal 
het EHRM niet snel concluderen dat sprake is van een schending van artikel 8 
EVRM. !82 


178 EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland); EHRM 8 februari 2018, nr. 
31446/12 (Ben Faiza/Frankrijk). 

179 EHRM 18 oktober 2016, nr. 61838/10 (Vukota-Bojić/ Zwitserland), AB 2017/418 m.nt. Schuur- 
mans & Uzman, par. 54-56. In deze zaak ging het weliswaar om observatie door een pri- 
védetective, maar principieel verschilt het observeren door een burger niet van observa- 
tie door de politie. 

180 EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/ Verenigd Koninkrijk), par. 99, NJ 
2009/410, m.nt. Alkema, NTM/NJCM-bull. 2009/4, p. 391, m.nt. Van der Staak. 

181 In dezelfde zin Koning 2020, p. 164. 

182 EHRM 4 juni 2013, nrs. 7841/08 en 57900/12 (Peruzzo en Martens/Duitsland) is in dit ver- 
band illustratief. In deze zaak moest het Hof zich buigen over de vraag of de opslag van 
DNA-gegevens de toets aan artikel 8 EVRM kan doorstaan. Volgens het EHRM is dat het 


—> 
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Bij de beoordeling van de vraag of een inbreuk is gerechtvaardigd speelt de ernst 
van de privacyinbreuk een belangrijke rol.18 Zo maakt het EHRM bijvoorbeeld on- 
derscheid in de eisen en waarborgen die moeten gelden voor de opslag van DNA- 
materiaal, foto’s en vingerafdrukken.!#* Over het algemeen is het EHRM streng ten 
aanzien van politionele en justitiële gegevensbanken. Niet alleen in zaken waarin 
het draait om de opslag van hoog-persoonlijke informatie zoals DNA-materiaal,!*° 
ook als het gaat om databanken waarin voor het publiek toegankelijke gegevens 
worden opgeslagen, is het EHRM streng.!*° De reden hiervoor is dat het creëren 
van databanken gemakkelijk tot misbruik kan leiden en dat dient zoveel mogelijk 
te worden voorkomen. Dit misbruik kan zoals gezegd worden voorkomen door 
acht te slaan op gegevensbeschermingsrechtelijke principes als doelspecificatie, 
doelbinding, opslagbeperking en dataminimalisatie. 

Zo is duidelijk dat het EHRM veel belang hecht aan de vraag in hoeverre 
het nationale recht beperkingen stelt ten aanzien van de gegevens die mogen wor- 
den verwerkt en de personen over wie de gegevens mogen worden verwerkt. Deze 
beoordeling zegt iets over de proportionaliteit en de subsidiariteit van een surveil- 
lancemethode, maar hier wordt ook het belang van doelspecificatie en -binding 
zichtbaar.'®? In Rotaru/Roemenië komt het EHRM tot een schending van artikel 8 
EVRM, omdat het nationale recht in het geheel geen grenzen stelt aan de mogelijk- 
heid om informatie over een individu op te slaan.'** Het nationale Roemeense recht 
maakte niet duidelijk welke informatie mocht worden opgeslagen, van wie gege- 


vens mochten worden opgeslagen, hoe lang de informatie mocht worden bewaard 


geval, omdat het nationale recht het slechts toestaat om DNA voor een beperkte doel- 
groep te verwerken (doelspecificatie); er wordt regelmatig gecontroleerd of het nog 
noodzakelijk is om de gegevens op te slaan en het Duitse recht voorziet in effectieve con- 
trole; burgers kunnen een vordering indienen om de gegevens te laten verwijderen. 

183 EHRM 13 november 2012, nr. 24029/07 (M.M./Verenigd Koninkrijk), par. 200 waarin het 
Hof overweegt: “[flurther, the greater the scope of the recording system, and thus the 
greater the amount and sensitivity of data held and available for disclosure, the more 
important the content of the safeguards to be applied at the various crucial stages in the 
subsequent processing of the data.” 

184 EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/Verenigd Koninkrijk), par. 120, NJ 
2009/410, m.nt. Alkema, NTM/NJCM-bull. 2009, p. 391, m.nt. Van der Staak. 

185 EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/Verenigd Koninkrijk), par. 120, NJ 
2009/410, m.nt. Alkema, NTM/NJCM-bull. 2009, p. 391, m.nt. Van der Staak; 

186 EHRM (GK) 4 mei 2000, nr. 28341/95 (Rotaru/Roemenië); EHRM 6 juni 2006, nr. 62332/00 
(Segerstedt-Wiberg/ Zweden). 

187 Zie hoofdstuk 3, § 1.2.1 over deze beginselen. 

188 EHRM (GK) 4 mei 2000, nr. 28341/95 (Rotaru/Roemenië). 
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alsmede hoe de integriteit en de vertrouwelijkheid van de gegevens was ge- 
borgd.1*9 

Voorts hecht het EHRM belang aan effectieve bewaartermijnen (opslag- 
beperking) en dataminimalisatie.'°° In Brunet/Frankrijk oordeelde het EHRM dat 
het opslaan en voor lange tijd bewaren van informatie (20 jaar) van individuen 
nadat de strafzaak is geëindigd een schending van artikel 8 EVRM oplevert.!*! Een 
ruime bevoegdheid tot het afnemen van vingerafdrukken in combinatie met een 
bewaartermijn van 25 jaar leidt ook tot een schending van artikel 8 EVRM!” Het 
nationale recht moet dus waarborgen dat gegevens relevant zijn en de omvang van 
de verzameling moet in verhouding staan tot het doel van de verwerking.'* De 
wijze waarop de gegevens zijn beveiligd (integriteit en vertrouwelijkheid),!4 is ook 
een belangrijke factor in de jurisprudentie van het EHRM inzake politionele en jus- 
titiële databanken. '° Ook hecht het EHRM belang aan toezicht.'® Daarbij is vooral 
van belang dat het nationale recht ook voorziet in procedurele mogelijkheden ter 
voorkoming van misbruik. Waaraan dit toezicht precies moet doen, concretiseert 
het EHRM nauwelijks. 

Zoals hierna zal blijken, valt tot slot op dat de eisen en waarborgen die het 
EHRM in het kader van de politionele en justitiële databanken van belang acht, 
overeenkomst kennen met de eisen en waarborgen die worden gesteld aan de hei- 


melijke interceptie van communicatie. Op deze eisen gaan wij hieronder nader in. 


33.2 Heimelijke interceptie van communicatie 
3.3.2.1 Inbreuk 


Voordat hieronder nader wordt ingegaan op de eisen en waarborgen die het 
EHRM stelt aan de vergaring en verwerking van communicatiegegevens en daar- 
aan te relateren gegevens, dient eerst kort te worden stilgestaan bij het verschil 
tussen gerichte interceptie en ongerichte interceptie (bulkinterceptie). 


189 Zie Koning 2020, p. 117-124 voor meer voorbeelden. 

190 Zie hoofdstuk 3, § 1.5. 

191 EHRM 18 september 2014, nr. 21010/10 (Brunet/Frankrijk). 

192 EHRM 18 april 2013, nr. 19522/09 (M.K./Frankrijk). 

193 EHRM 17 december 2009, nr. 16428/05 (Gardel/Frankrijk), par. 62. 

194 Zie hoofdstuk 3, § 2.1.6. 

195 Zie onder meer EHRM 17 december 2009, nr. 22115/06 (M.B./Frankrijk); EHRM 18 april 
2013, nr. 19522/09 (M.K./Frankrijk). 

196 Zie onder meer EHRM (GK) 4 mei 2000, nr. 28341/95 (Rotaru/ Roemenië), par. 57-59; EHRM 
13 november 2012, nr. 24029/07 (M.M./Verenigd Koninkrijk), par. 202. 
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Hoewel het EHRM geen definitie geeft voor gerichte interceptie, zondert het 
EHRM deze vorm van onderschepping onder meer in Big Brother Watch e.a./Ver- 
enigd Koninkrijk af van de ongerichte interceptie. Daarbij merkt het Straatburgse 
Hof op dat de gerichte interceptie meestal plaatsvindt met het oog op het onder- 
zoeken van misdrijven. °? Bij gerichte interceptie kan bijvoorbeeld worden gedacht 
aan het aftappen van telefoongesprekken bij specifieke verdachten. Dit kan wor- 
den gezien als een inbreuk op de privacy. Naast gerichte interceptie staat ongericht 
interceptie of bulkinterceptie. Ook de vraag wat precies onder bulkinterceptie moet 
worden verstaan, heeft het EHRM niet expliciet beantwoord. Bovendien gebruikt 
het EHRM niet altijd dezelfde termen voor bulkinterceptie, bijvoorbeeld ‘strategic 
monitoring’ of ‘mass surveillance’.®8 Wel heeft het EHRM in de recente zaken Big 
Brother Watch en Centrum for Rattvisa nader proberen te duiden wat onder bulkin- 
terceptie kan worden verstaan. '® Bij bulkinterceptie gaat het volgens het EHRM 
vaak om ‘internationale communicatie’, dat is communicatie van personen buiten 


de territoriale jurisdictie van de staat. Vaak kan deze communicatie niet door 


197 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Verenigd 
Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 344. 

198 Zie onder meer EHRM 29 juni 2006, nr. 54934/00 (Weber en Saravia/Duitsland). Zie ook De 
Hert & Malgieri 2021, p. 268. 

199 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Verenigd 
Koninkrijk), NJ 2021/361, m.nt. Dommering, zie par. 322: “The present complaint concerns 
the bulk interception of cross-border communications by the intelligence services. While 
it is not the first time the Court has considered this kind of surveillance (see Weber and 
Saravia and Liberty and Others, both cited above), in the course of the proceedings it has 
become apparent that the assessment of any such regime faces specific difficulties. In the 
current, increasingly digital, age the vast majority of communications take digital form 
and are transported across global telecommunications networks using a combination of 
the quickest and cheapest paths without any meaningful reference to national borders. 
Surveillance which is not targeted directly at individuals therefore has the capacity to 
have a very wide reach indeed, both inside and outside the territory of the surveilling 
State. Safeguards are therefore pivotal and yet elusive. Unlike the targeted interception 
which has been the subject of much of the Court’s case-law, and which is primarily used 
for the investigation of crime, bulk interception is also — perhaps even predominantly — 
used for foreign intelligence gathering and the identification of new threats from both 
known and unknown actors. When operating in this realm, Contracting States have a 
legitimate need for secrecy which means that little if any information about the operation 
of the scheme will be in the public domain, and such information as is available may be 
couched in terminology which is obscure and which may vary significantly from one 
State to the next.” 
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andere surveillancemaatregelen worden verkregen. De doeleinden waarvoor 
bulkinterceptie kan worden gebruikt lijken te verschillen van die waarvoor ge- 
richte interceptie wordt ingezet. Gerichte interceptie vindt meestal plaats met het 
oog op het onderzoeken van misdrijven. Hoewel de ongerichte interceptie kán 
worden gebruikt om bepaalde ernstige misdrijven op te sporen, lijken lidstaten 
deze bevoegdheid vooral in te zetten voor het verzamelen van buitenlandse inlich- 
tingen en het vroegtijdig opsporen en onderzoeken van cyberaanvallen, spionage 
en terrorisme. Het EHRM geeft daarmee impliciet aan dat bulkinterceptie dus 
óók kan worden ingezet ten behoeve van de opsporing. Het spreekt in dit kader 
van ‘ernstige misdrijven’, maar door de verwoording met ‘kan’ bakent het EHRM 
de grenzen niet nader af. Het is dus níet zo dat het EHRM bulkinterceptie in het 
kader van opsporing alleen toelaatbaar acht als het zware criminaliteit betreft, al- 
thans die grens trekt het EHRM niet. 

Het EHRM merkt vervolgens op dat — ook al heeft de massale onderschep- 
ping van gegevens niet noodzakelijk betrekking op bepaalde individuen — de on- 
derschepping van gegevens wel kan worden ingezet ‘to target individuals’ en het 
wordt ook met dit oogmerk gebruikt. Als dit evenwel het geval is, worden niet de 
specifieke ‘devices’ van de beoogde personen gecontroleerd. Er wordt massaal 
communicatie onderschept waarbij — door de toepassing van sterke selectoren (zo- 
als het gebruik van e-mailadressen) — gericht kan worden gezocht naar bepaalde 
personen. Alleen de ‘pakketten’ van communicatie van de individuen die door de 
inlichtingendiensten zijn geselecteerd aan de hand van sterke selectoren of com- 
plexe zoekopdrachten kunnen door een analist worden onderzocht. Daarmee 
geeft het EHRM een nogal vage uitleg aan de term ‘bulkinterceptie’. Het betreft in 
elk geval géén gerichte interceptie, maar de massale interceptie kan wel degelijk 
betrekking hebben op specifieke personen. Voorts lijkt het voornamelijk om de in- 
lichtingencontext te gaan, maar het EHRM sluit niet uit dat bulkinterceptie ook in 
strafvorderlijk verband kan worden gebruikt. Over de inbreuk op het recht op pri- 
vacy die gepaard gaat met bulkinterceptie merkt het EHRM het volgende op. Het 
EHRM beschouwt het in bulk vergaren en verwerken van communicatiegegevens 
als één gradueel proces van de initiële fase van vergaring tot aan het onderzoek en 


het gebruik van specifieke gegevens, waarbij de mate van de inbreuk op de privacy 


200 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Verenigd 
Koninkrijk), NJ 2021/361, m.nt. Dommering, zie par. 344. 

201 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Verenigd 
Koninkrijk), NJ 2021/361, m.nt. Dommering, zie par. 344. 

202 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Verenigd 
Koninkrijk), NJ 2021/361, m.nt. Dommering, zie par. 346. 
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toeneemt naarmate het proces vordert. Het EHRM onderscheidt in dit kader vier 
fasen: 1) het verzamelen en opslaan van communicatiedata; 2) het doorzoeken van 
data aan de hand van selectoren; 3) het onderzoeken van geselecteerde data door 
een analist; 4) het gebruiken van data. Kennelijk hangt de ernst van de privacyin- 
breuk bij bulkinterceptie dus vooral af van de mate waarin de gegevens daadwer- 
kelijk worden gebruikt om inzicht te verkrijgen in iemands persoonlijk leven. Als 
de gegevens worden onderschept, wordt weliswaar inbreuk gemaakt op het recht 
op privacy, maar de inbreuk is ernstiger als daadwerkelijk kennis wordt genomen 
van de gegevens. De zienswijze van het EHRM — waarbij de bulkinterceptie als 
één proces wordt beschouwd — contrasteert met de Nederlandse situatie waarin 
onderscheid wordt gemaakt tussen de vergaring en de verwerking van bulkgege- 


vens.20* 


3.3.2.2. Gerechtvaardigde inbreuk 


De zes Huvig criteria 


Het EHRM heeft ten aanzien van de vraag of het onderscheppen van heimelijke 
communicatie en/of daaraan gerelateerde gegevens gerechtvaardigd is een eigen 
doctrine ontwikkeld. Daarbij worden de drie stappen uit artikel 8 lid 2 EVRM even- 
wel niet altijd doorlopen. Doorgaans beziet het EHRM de noodzakelijkheid van 
het vergaren van communicatie in samenhang met het legaliteitsvereiste.2% Dit be- 
tekent dat het EHRM zich vooral concentreert op de vraag of het nationale recht 
voldoende waarborgen biedt tegen misbruik en willekeur.” De vraag is nu welke 
waarborgen voor het EHRM in het kader van het legaliteitsvereiste van belang zijn. 


203 EHRM (GK) 25 mei 2021, nr. 58170/13, 62322/14 & 24960/15 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 325 en 350. Zie ook Hagens en 
Oerlemans in hun noot op EHRC Updates bij de zaken BBW en Centrum för Rättvisa. 

204 Zie hoofdstuk 2. 

205 Zie onder meer EHRM (GK) 4 december 2015, nr. 47143/06, NJ 2017/185, m.nt. Domme- 
ring, (Roman Zakharov/Rusland), par. 236; EHRM 18 mei 2010, nr. 26839/05, NJ 2011/333, 
(Kennedy/Verenigd Koninkrijk), par. 155. Vgl. voorts EHRM (GK) 4 december 2008, nrs. 
30562/04 & 30566/04, NJ 2009/410, m.nt. Alkema, (S. en Marper/Verenigd Koninkrijk), par. 
99, waar het Hof overweegt dat: ‘[...] the lawfulness of the interference is closely related 
to the question whether the “necessity” test has been complied with...’. 

206 Zie bijvoorbeeld EHRM (GK) 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big 
Brother Watch e.a./Verenigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 334 en 337. 
Het EHRM bespreekt de waarborgen rondom bulkinterceptie zowel in het licht van le- 
galiteit als noodzakelijkheid. Het merkt daarbij op dat staten een ruime ‘margin of ap- 


preciation’ hebben wat betreft de keuze van een interceptiesysteem. De exploitatie van 
= 
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Het legaliteitsvereiste in zaken over gerichte interceptie van communicatie houdt 
in dat dat de inbreuk 1) een basis moet hebben in het nationale recht, alsook 2) 
voldoende toegankelijk, 3) voorzienbaar en 4) niet willekeurig moet zijn.” Het ver- 
eiste dat de inbreuk enige basis in het recht dient te hebben heeft in de rechtspraak 
van het EHRM een materieelrechtelijke inhoud gekregen.” Het betreft niet alleen 
formele wetgeving: ook jurisprudentie, beleidsregels, uitvoeringsbesluiten of zelfs 
ongeschreven recht kunnen als rechtsbasis dienen. Doorgaans toetst het EHRM 
slechts marginaal of een inbreuk op het recht op privacy een basis heeft in het recht. 
Wat betreft de eis van toegankelijkheid stelt het EHRM dat de burger een indicatie 
moet kunnen hebben van de regels die op een bepaald moment gelden. Daarvoor 
is in beginsel voldoende dat de burger weet waar hij de regels kan opvragen. 
Openbare bekendmaking van de regels — publicatie in het Staatsblad of wellicht op 
het internet — verdient evenwel de voorkeur.2!° Aan de voorzienbaarheidseis is vol- 
daan indien de rechtsbasis voldoende duidelijk en precies is geformuleerd, zodat 
de burger kan voorzien, eventueel na inwinning van juridisch advies?! op basis 
van welke toepassingsvoorwaarden en onder welke omstandigheden de overheid 
inbreuk kan maken op zijn privacy”? Dat zal het EHRM van geval tot geval beoor- 
delen nu de voorzienbaarheid is vereist “to a degree that is reasonable in the 


een dergelijk systeem valt evenwel binnen een engere marge en moet zijn voorzien van 
uitgebreidere waarborgen in de wet. 

207 EHRM 24 april 1990, nr. 11105/84 (Huvig/Frankrijk), par. 26. Zie voorts Harris e.a. 2018, p. 
533-534. 

208 EHRM 25 maart 1983, nrs. 5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75, 7136/75 
(Silver e.a./Verenigd Koninkrijk), par. 85 onder verwijzing naar EHRM 16 april 1979, nr. 
6538/74 (Sunday Times/Verenigd Koninkrijk), par. 47, NJ 1980/146, m.nt. Alkema. 

209 EHRM 28 maart 1990, nr. 10890/84 (Groppera Radio AG e.a./Zwitserland), par. 68. 

210 Vgl. EHRM 12 mei 2000, nr. 35394/97 (Khan/Verenigd Koninkrijk), par. 27, NJ 2002/180, 
m.nt. Schalken. Vgl. voorts EHRM 25 maart 1983, nrs. 5947/72 & 6205/73 & 7052/75 & 
7061/75 & 7107/75 & 7113/75 & 7136/75 (Silver e.a./Verenigd Koninkrijk), par. 87. 

211 Zie bijvoorbeeld EHRM 14 maart 2013, nr. 24117/08 (Bernh Larsen Holding AS e.a./Noorwe- 
gen), par. 123. 

212 Zie bijvoorbeeld EHRM 2 augustus 1984, nr. 8691/79 (Malone/Verenigd Koninkrijk), par. 66; 
EHRM (GK) 4 december 2008, nr. 30562/04 (S. en Marper/Verenigd Koninkrijk), par. 95, NJ 
2009/410, m.nt. Alkema, NTM/NJCM-bull. 2009, p. 391, m.nt. Van der Staak; EHRM 12 
januari 2010, nr. 4158/05 (Gillan & Quinton/Verenigd Koninkrijk), par. 76, NJ 2010/325, m.nt. 
Dommering; EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 
229, NJ 2017/185, m.nt. Dommering. 
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circumstances”.*'3 Voor heimelijke opsporingsmethoden geldt dat het EHRM veel 
belang toekent aan het voorzienbaarheidsvereiste.?"4 

Tot slot beoordeelt het EHRM of de rechtsbasis voldoende waarborgen bevat 
om misbruik en willekeur te voorkomen. In het kader van deze stap heeft het 
EHRM voor het eerst in Huvig zes eisen en waarborgen ontwikkeld waaraan “secret 
measures of surveillance” in nationale wetgeving moeten voldoen.?!> Deze vereisten 
zijn in de loop van de jaren nader ingevuld en geconcretiseerd.?!6 Onder meer in 
de zaken Weber en Saravia en Liberty presenteert het Hof de zes Huvig vereisten als 
“minimum requirements”? Ook in het Grote Kamer arrest Roman Zakharov/Rus- 
land formuleert het EHRM de zes eisen als minimumcriteria. Het nationale recht 


moet voorzien in: 


1) Een beschrijving van de aard van strafbare feiten die tot interceptie 
kan leiden; 
2) Een definitie van de categorieén van personen wier communicaties 


onderschept kunnen worden; 


3) Een beperking met betrekking tot de duur van de genomen inter- 
ceptiemaatregelen; 
4) De procedure voor het analyseren, gebruiken en bewaren van de 


verkregen data; 

5) Voorzorgsmaatregelen die worden getroffen bij het delen van deze 
gegevens met andere partijen; en 

6) De omstandigheden waaronder deze gegevens mogen of moeten 


worden verwijderd of vernietigd.?!8 


213 EHRM 25 maart 1983, nrs. 5947/72 & 6205/73 & 7052/75 & 7061/75 & 7107/75 & 7113/75 & 
7136/75 (Silver e.a./Verenigd Koninkrijk), par. 88. 

214 Zie onder meer EHRM 25 maart 1998, nr. 23224/94 (Kopp/Zwitserland), par. 72; EHRM 
(GK) 4 mei 2000, nr. 28341/95 (Rotaru/Roemenië), par. 53; EHRM 29 juni 2006, nr. 54934/00 
(Weber & Saravia/Duitsland), par. 93; EHRM 2 september 2010, nr. 35623/052010/123 
(Uzun/Duitsland), par. 61; EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakha- 
rov/Rusland), par. 229, NJ 2017/185, m.nt. Dommering. 

215 EHRM 24 April 1990, nr. 11105/84 (Huvig/Frankrijk), par. 32. Zie ook Loideain 2022, p. 56. 

216 Zie in dit kader ook Loideain 2022, p. 57; De Hert en Malgieri 2021, p. 255-296. 

217 EHRM 29 juni 2006, nr. 54934/00 (Weber en Saravia/Duitsland) en EHRM 1 juli 2008, nr. 
58243/00, NJ 2010/324, m.nt. Dommering (Liberty e.a./Verenigd Koninkrijk). 

218 EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 231, NJ 
2017/185, m.nt. Dommering. 
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Naast deze minimumvoorwaarden vereist het EHRM dat het nationale recht voor- 
ziet in toezicht.2'9 Zo besteedt het EHRM aandacht aan de wijze waarop het toe- 
zicht op de bevoegdheden is ingericht, aan de manier waarop notificatieverplich- 
tingen in het recht zijn opgenomen en aan de (rechts)middelen die tegen inzet van 
de methode open staan. Doorgaans maakt het Hof onderscheid tussen toezicht 
vooraf, tijdens en achteraf?! Op alle drie de momenten moet er toezicht bestaan. 
Het EHRM ziet het liefst dat toetsing vooraf plaatsvindt door een rechter, maar 
voorafgaand toezicht door een andere autoriteit is niet uitgesloten. 

In bovenstaande zes minimumvoorwaarden zijn verschillende gegevens- 
beschermings-rechtelijke beginselen te herkennen. Zo moet allereerst worden ge- 
specifieerd voor welk doel communicatiegegevens kunnen worden onderschept, 
door te omschrijven voor welke strafbare feiten en van welke personen communi- 
catie kan worden onderschept. Ook de beginselen van data-minimalisatie en op- 
slagbeperking zijn duidelijk te herkennen in bovenstaande criteria. Irrelevante ge- 
gevens moeten bijvoorbeeld zo snel mogelijk worden verwijderd? Doelbinding 
in de zin van dat gegevens alleen mogen worden gebruikt voor het doel waarvoor 
ze zijn verkregen keert niet expliciet terug in bovenstaande criteria. Niettemin lijkt 
het EHRM wel belang te hechten aan doelbinding. Zo overweegt het EHRM in on- 
der meer Roman Zakharov/Rusland dat gegevens die niet relevant zijn voor het doel 
waarvoor de gegevens zijn vergaard moeten worden vernietigd. Voorts hecht 
het EHRM belang aan de vraag of het nationale recht voldoende waarborgen bevat 
ter bescherming van de rechten van derden waarop de interceptie zich aanvanke- 


lijk niet richtte. In Amann/Zwitserland neemt het EHRM een schending van artikel 


219 Zie hierover uitgebreid Eskens, Van Daalen & Van Eijk 2016, p. 15-27; Malgieri & De Hert 
2017. 

220 EHRM 6 september 1978, nr. 5029/71 (Klass e.a./Duitsland), par. 49-50 en 59; EHRM 26 
maart 1987, nr. 9248/81 (Leander/Zweden), par. 65-67; EHRM (GK) 4 december 2015, nr. 
47143/06 (Roman Zakharov/Rusland), par. 233-234, NJ 2017/185, m.nt. Dommering. 

221 EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 233, NJ 
2017/185, m.nt. Dommering. 

222 EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 249, 257-258, 
275, NJ 2017/185, m.nt. Dommering. Vgl. voorts EHRM 12 januari 2016, nr. 37138/14 
(Szabó & Vissy/Hongarije), par. 78; EHRM 6 september 1978, nr. 5029/71 (Klass e.a./Duits- 
land), par. 56 alsmede Malgieri & De Hert 2017, p. 509-532. 

223 EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 255, NJ 
2017/185, m.nt. Dommering. Zie ook EHRM 6 september 1978, nr. 5029/71 (Klass 
e.a./Duitsland), par. 52; EHRM 18 mei 2010, nr. 1, NJ 2011/333 (Kennedy/Verenigd Konink- 
rijk), par. 188. 

224 EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 255, NJ 
2017/185, m.nt. Dommering. 
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8 EVRM aan, onder meer omdat het nationale recht niet duidelijk maakte welke 
eisen golden voor het gebruik van informatie over derden. 

Hoewel het EHRM in zijn rechtspraak over interceptie van communicatie 
en daaraan gerelateerde gegevens veel waarde toekent aan de zes ‘minimum’ ver- 
eisten, rijzen tegelijkertijd vragen.?% Allereerst is de vraag of deze eisen nu ten aan- 
zien van alle ‘surveillance’-methoden gelden, dus ook ten aanzien van methoden 
waarmee geen communicatie of daaraan gerelateerde gegevens worden vergaard. 
Ten tweede is de vraag relevant hoe de criteria zich laten toepassen op interceptie 
van communicatie door inlichtingendiensten, waarbij vaak ongericht gegevens 
worden vergaard. Kán bij dergelijke interceptie wel tegemoet worden gekomen 
aan de eerste twee Huvig criteria, te weten een beschrijving van de aard van straf- 
bare feiten die tot interceptie kan leiden en een definitie van de categorieën van 
personen wier communicaties onderschept kunnen worden. Immers, bij het onder- 
scheppen van grote hoeveelheden gegevens is het mogelijk lastig de groep precies 
te definiëren. 

Op bovenstaande vragen geeft de jurisprudentie van het EHRM gedeel- 
telijk antwoord. Wat betreft de eerste vraag lijkt het EHRM in Uzun/Duitsland dui- 
delijk te maken dat het de zes minimum voorwaarden niet altijd even streng in- 
vult? Het ging in deze zaak om het vergaren van locatiegegevens door middel 
van gps-trackers. Het EHRM geeft aan dat het systematisch verzamelen van gps- 
gegevens een inbreuk op de privacy behelst, maar dat die inbreuk minder ingrij- 
pend is dan bijvoorbeeld het afluisteren van telefoongesprekken.?% Deze constate- 
ring lijkt gevolgen te hebben voor de omvang van het wettelijke kader. Het EHRM 
stelt in Uzun/Duitsland meer globaal vast dat uit de wet moet blijken wat de gron- 
den zijn om de bevoegdheid in te zetten, wat de omvang en de duur van de be- 
voegdheid is en welke autoriteit bevoegd is om de bevoegdheid toe te staan, uit te 
voeren, te controleren, en of er een rechtsmiddel openstaat tegen de bevoegd- 
heid.” Het EHRM vermeldt in dit geval niet specifiek dat in de wet moet worden 
opgenomen bij welke categorieën van personen de bevoegdheid kan worden inge- 
zet, bij welke strafbare feiten, welke procedure moet worden gevolgd, of de rechter 
de bevoegdheid dient te beoordelen en wanneer de gegevens moeten worden 


225 EHRM (GK) 16 februari 2000, nr. 27798/95 (Amann/Zwitserland), par. 61. 

226 Zie in dit kader ook De Hert en Malgieri 2021, p. 264. 

227 EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland), par. 63-74. 

228 EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland), par. 46 en 52. Zie ook De Hert & 
Malgieri 2021, p. 265-266. 

229 EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland), par. 63. In EHRM 10 maart 2009, 
nr. 4378/02 (Bykov/Rusland), par. 78 en in EHRM 27 oktober 2015, nr. 62498/11 (R.E./ Ver- 
enigd Koninkrijk), par. 128, herhaalt het EHRM dit uitgangspunt. 
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vernietigd. Anders dan in Huvig/Frankrijk benoemt het EHRM in deze zaak dan 
wel weer de mogelijkheid van een rechtsmiddel tegen de ingezette bevoegdheid. 
In de zaken Bykov/Rusland en R.E/Verenigd Koninkrijk herhaalt het EHRM dit uit- 
gangspunt.2 In Uzun/Duitsland erkent het EHRM weliswaar dat bovenstaande mi- 
nimumvereisten als inspiratie kunnen dienen in zaken over heimelijke opsporings- 
methoden die minder vergaande privacyinmengingen impliceren, maar dat deze 
daarop niet één op één zijn toe te passen. Het EHRM overweegt: “What is required 
by way of safeguard will depend, to some extent at least, on the nature and extent of the 
interference in question.” ?31 

Voor wat betreft de tweede vraag — in hoeverre kunnen de zes minimum- 
voorwaarden ook worden toegepast op het intercepteren van communicatie en 
daaraan gerelateerde gegevens door inlichtingendiensten — heeft het EHRM lang 
vastgehouden aan de zes minimum voorwaarden. In onder meer Weber en Sara- 
vial Duitsland,?>* Liberty/Verenigd Koninkrijk en Kennedy/Verenigd Koninkrijk?4 ging 
het om het in bulk onderscheppen van communicatie.”*® In Liberty/Verenigd Konink- 
rijk gaat het EHRM specifiek in op het verschil tussen meer op het individu gerichte 
vormen van het onderscheppen van communicatiegegevens en het in bulk onder- 
scheppen van communicatiegegevens. Het Hof ziet dan echter niet in dat een on- 
derscheid dient te worden gemaakt in regels voor de diverse vormen van intercep- 
tie; zowel voor de meer individuele vormen van interceptie als de collectieve inter- 


ceptie zijn de zes minimum vereisten van toepassing.” Dit uitgangspunt 


230 EHRM 10 maart 2009, nr. 4378/02 (Bykov/Rusland), par. 78 en EHRM 27 oktober 2015, nr. 
62498/11 (R.E./ Verenigd Koninkrijk), par. 128. Hoewel het in deze zaken dan weer gaat om 
gevoeligere informatie, te weten een privégesprek en het afluisteren van rechtsconsulta- 
tie op een politiebureau. 

231 EHRM 2 september 2010, nr. 35623/05 (Uzun/Duitsland), par. 63-74. Vgl. voorts EHRM 25 
september 2001, nr. 44787/98, NJ 2003/670, m.nt. Dommering (P.G. & J.H./ Verenigd Konink- 
rijk), par. 46; EHRM 27 oktober 2015, nr. 62498/11 (R.E./Verenigd Koninkrijk), par. 127 en 
130. 

232 EHRM 29 juni 2006, nr. 54934/00 (Weber en Saravia/Duitsland). 

233 EHRM 1 juli 2008, nr. 58243/00, NJ 2010/324, m.nt. E.J. Dommering (Liberty e.a./Verenigd 
Koninkrijk). 

234 EHRM 18 mei 2010, nr. 26839/05, NJ 2011/333 (Kennedy/Verenigd Koninkrijk). 

235 In deze uitspraken spreekt het EHRM niet van ‘bulk interception’, maar van ‘strategic 
monitoring’ of ‘mass surveillance’. Zie nader De Hert en Malgieri 2021, p. 268. 

236 EHRM 1 juli 2008, nr. 58243/00 (Liberty e.a./Verenigd Koninkrijk), NJ 2010/324, m.nt. Dom- 
mering, par. 63. 
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verandert evenwel in de Grote Kamer zaken Big Brother Watch e.a./Verenigd Konink- 
rijk en Centrum for Rättvisa/ Zweden.?57 


De acht waarborgen bij Big Brother Watch 


Mede gelet op de kritiek op Weber en Saravia, Kennedy en Liberty gaat de Grote Ka- 
mer in Big Brother Watch en Centrum för Rättvisa nader in op de vraag of voor het 
bulk intercepteren van communicatiegegevens dezelfde eisen moeten gelden als 
voor op het individu gerichte vormen van het onderscheppen van communicatie- 
gegevens. Het EHRM erkent dan voor het eerst dat bulkinterceptie, waarbij de ver- 
garing (en deels ook de verwerking) ongericht is, een groot potentieel bereik heeft 
en dat daarbij aangepaste waarborgen nodig zijn.” Net zoals het EHRM in eerdere 
jurisprudentie de toepassing van nieuwe technologische inlichtingen- en opspo- 
ringsmethoden met betrekking tot gerichte gegevensverzameling begrijpelijk acht, 
geldt dat ook voor bulkinterceptie. De veranderde digitale samenleving, de tech- 
nische, maatschappelijke en politieke situatie zorgen ervoor dat de ongerichte ge- 
gevensvergaring een waardevolle aanvulling is om bedreigingen van de nationale 
veiligheid in kaart te brengen. Lidstaten genieten een ruime beoordelingsmarge bij 
het vaststellen hoe ze die nationale veiligheid beschermen.’ Ze mogen zelf de 
vorm van interceptie kiezen, gericht of ongericht. Indien voor een ongerichte vorm 
van interceptie wordt gekozen, geldt echter een aantal aangepaste eisen om mis- 
bruik te voorkomen.?® Dit is een belangrijk punt. Het EHRM eist dus níet van lid- 
staten dat zij verantwoorden waarom zij niet kunnen volstaan met enkel een sys- 
teem van gerichte gegevensvergaring. De uitspraak leidt op dit punt tot kritiek 
vanuit het oogpunt van privacybescherming. Het EHRM beschouwt massasurveil- 
lanceregimes in Europa als de nieuwe realiteit en acht het legitiem in het kader van 


237 EHRM (GK) 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch 
e.a./Verenigd Koninkrijk), NJ 2021/361, m.nt. Dommering; EHRM (GK) 25 mei 2021, 
ECLECE:ECHR:2021:0525JUD003525208 (Centrum för Rättvisa/ Zweden), JBP 2021/62, m.nt. 
Moyakine; EHRC Updates, m.nt. Hagens en Oerlemans. 

238 EHRM (GK) 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch 
e.a./Verenigd Koninkrijk), NJ 2021/361, m.nt. Dommering; EHRM (GK) 25 mei 2021, 
ECLECE:ECHR:2021:0525JUD003525208 (Centrum for Rättvisa/ Zweden), JBP 2021/62, m.nt. 
Moyakine; EHRC Updates, m.nt. Hagens en Oerlemans. 

239 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 338. 

240 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 347. 
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het beschermen van de nationale veiligheid, zonder dat op dit punt een subsidia- 
riteitstoets hoeft te worden aangelegd?! 

Áls wordt gekozen voor bulkinterceptie, dan geldt een aangepast kader om 
misbruik te voorkomen.” Het EHRM verschuift het accent van de toetsing van de 
eerste drie van de ‘Huvig criteria’ naar de laatste drie, terwijl het EHRM die laatste 
drie preciseert en uitbreidt.” Het EHRM stelt acht criteria voor waaraan het wet- 
telijk kader moet voldoen met betrekking tot bulkinterceptie. In de wet moet dui- 
delijk zijn weergegeven: 


1) De gronden waarop bulkinterceptie is toegestaan; 

2) De omstandigheden waaronder communicatie mag worden onder- 
schept; 

3) De procedure voor het verlenen van autorisatie/machtiging; 

4) De procedures voor het selecteren, analyseren en gebruiken van het 
ond schepte materiaal; 

5) De te nemen voorzorgsmaatregelen voor het verstrekken van dat ma- 
teriaal aan andere partijen; 

6) De beperkingen van de duur van interceptie, de opslag van het onder- 
schepte materiaal en de omstandigheden waaronder dit materiaal 
moet worden verwijderd en vernietigd; 

7) De procedures en modaliteiten voor het toezicht op naleving van de 
bovengenoemde waarborgen door een onafhankelijke instantie en haar 


bevoegdheden om niet-naleving aan te pakken; 


241 Zie de partly concurring en partly dissenting opinion van rechter Pinto de Albuquerque. Zie 
ook Moyakine in zijn noot bij onderhavig arrest en voorts de blogs van Marko Milanovic, 
‘The Grand Normalization of Mass Surveillance: ECtHR Grand Chamber Judgments in 
Big Brother Watch and Centrum för Rattvisa’, 26 May 2021(); Nora Ni Loideain, ‘Not So 
Grand: The Big Brother Watch ECtHR Grand Chamber judgment’, Information Law and 
Policy Centre, 28 mei 2021 (Not So Grand: The Big Brother Watch ECtHR Grand Chamber 
judgment - Information Law & Policy Centre (sas.ac.uk)), Eliza Watt, ‘Much Ado About 
Mass Surveillance — the ECtHR Grand Chamber ‘Opens the Gates of an Electronic “Big 
Brother” in Europe’ in Big Brother Watch v UK’, Strasbourg Observers 28 juni 2021 (Much 
Ado About Mass Surveillance - the ECtHR Grand Chamber ‘Opens the Gates of an Elec- 
tronic “Big Brother” in Europe’ in Big Brother Watch v UK - Strasbourg Observers); Mark 
Klamberg, ‘Big Brother’s little, more dangerous brother’, 1 juni 2021 (Big Brother’s Little, 
More Dangerous Brother — Verfassungsblog). 

242 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 347. 

243 Zie ook Dommering in zijn annotatie bij onderhavig arrest onder punt 12 (NJ 2021/361). 


Europeesrechtelijk kader 71 


8) De procedures voor een onafhankelijke ex post facto evaluatie van een 
dergelijke naleving en de bevoegdheden van een daartoe competente 


instantie om mogelijke gevallen van niet-naleving aan te pakken.2* 


Het is lastig de zes eerder geformuleerde ‘Huvig criteria’ één op één te vergelijken 
met Big Brother Watch, omdat de eerdere criteria meer zijn toegespitst op opspo- 
ringsonderzoek en Big Brother Watch betrekking heeft op de inlichtingenfase. Tege- 
lijkertijd stelt het EHRM expliciet in Liberty dat de legality-eis bij ‘strategic monito- 
ring’ voor gerichte interceptie (in het kader van opsporing zoals bij Huvig) en on- 
gerichte interceptie (in het kader van inlichtingen zoals in Liberty) dezelfde is.2* In 
Big Brother Watch is het EHRM zich ervan bewust dat bulkinterceptie kan worden 
ingezet ten behoeve van de opsporing. Het Hof stelt niet expliciet dat dan dezelfde 
criteria van toepassing zijn als in de inlichtingenfase, maar het presenteert in dit 
licht ook geen apart juridisch kader. Als we ervan uitgaan dat de Big Brother 
Watch-criteria ook van toepassing zijn bij strafvorderlijke doeleinden, valt op dat 
in de zes minimumcriteria van Huvig een ‘beschrijving van de aard van strafbare 
feiten’ wordt verlangd, daar waar in Big Brother Watch enkel nodig is dat de ‘gron- 
den voor interceptie’ zijn omschreven. Ook later in het proces, waar de vergaring 
overgaat in het analyseren van gegevens, dwingt het EHRM niet tot een nadere 
strafrechtelijke afbakening. Dat wil zeggen: het EHRM vereist níet van staten dat 
zij alleen bij een bepaalde dreiging van de nationale veiligheid interceptie inzetten 
of bij het voorkomen van bepaalde (zware) strafbare feiten. Voorts beperkt het 
EHRM de lidstaten niet ten aanzien van de groep personen bij wie gegevens mogen 
worden onderschept. Mogelijk dat een nadere begrenzing lastig is in een eerste fase 
van de vergaring van bulkdata, maar het EHRM verlangt dit ook niet in de vol- 
gende fase bij het analyseren van gegevens. Er hoeft geen sprake te zijn van perso- 
nen ten aanzien van wie ‘een redelijke verdenking’ bestaat. Wel dient duidelijk te 
zijn wat de selectoren zijn op basis waarvan gegevens worden geanalyseerd. Daar- 
mee kan natuurlijk de kring van personen worden afgebakend. Het EHRM geeft 
echter geen nadere begrenzing aan die vast te stellen selectoren. 


244 EHRM 25 mei 2021, ECLLECE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 361. 

245 EHRM 1 juli 2008, nr. 58243/00 (Liberty e.a./Verenigd Koninkrijk), NJ 2010/324, m.nt. Dom- 
mering, par. 63. 

246 EHRM (GK) 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch 
e.a./Verenigd Koninkrijk), NJ 2021/361, m.nt. Dommering, par. 344. Daarin geeft het EHRM 
aan dat bulkinterceptie ook kan worden ingezet voor de opsporing van misdrijven. 
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Ten aanzien van het onderzoeken en het doorzoeken van data merkt het EHRM 
voorts op dat niet alle selectie- en zoekcriteria uitgebreid vooraf kunnen worden 
verantwoord. Zowel de regering van Nederland als van het Verenigd Koninkrijk 
had aangegeven dat toestemming/autorisatie ten aanzien van het gebruiken van 
de diverse zoekcriteria onnodig beperkend zou werken bij het werken met bulk- 
data.” Het EHRM toont zich daar gevoelig voor; het is volgens het rechterlijk col- 
lege niet werkbaar en realistisch alle selectiecriteria uiteen te zetten, maar meer in 
het algemeen moeten typen of categorieën criteria kunnen worden geïdentificeerd. 
Er dient controle mogelijk te zijn ten aanzien van de subsidiariteit en proportiona- 
liteit van gemaakte keuzes. In hun joint partly concurring opinion uiten Lemmens, 
Vehabović en Bošnjak hier kritiek op, de rechters zien niet in dat het niet mogelijk 
is de selectiecriteria nauwkeurig uiteen te zetten.” Hoe dan ook geeft het EHRM 
de lidstaten hiermee ruimte. Het zet ‘enkel’ vereisten voor een wat meer globale 
beoordeling uiteen. Er dient te worden voorzien in onafhankelijk toezicht bij de 
procedure voor het verlenen van autorisatie/machtiging; bij de procedure voor het 
selecteren, analyseren en gebruiken van het onderschepte materiaal en bij de pro- 
cedure omtrent het vernietigen van het materiaal; dat is dus voorafgaand aan het 
interceptieproces, tijdens het proces én aan het einde van het proces. Daarnaast 
moet worden voorzien in een ‘onafhankelijke ex post facto evaluatie’. De burger 
die vermoedt dat zijn of haar communicatie ten onrechte is afgetapt moet beschik- 
ken over een effectief rechtsmiddel.” Het EHRM gaat niet zo ver dat het een noti- 
ficatieplicht stelt voor lidstaten.%° Maar áls burgers menen slachtoffer te zijn van 
bulkinterceptie, dan moeten zij bij een onafhankelijke instantie terecht kunnen. 
Daarbij moet deze instantie zo veel mogelijk een contradictoir proces garanderen 


waarbij de procedure leidt tot gemotiveerde en juridisch bindende besluiten. 


247 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), m.nt. Dommering, par. 353. 

248 Joint partly concurring opinion van rechters Lemmens, Vehabović en Bošnjak onder par. 
Il. 

249 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD005817013 (Big Brother Watch e.a./Ver- 
enigd Koninkrijk), m.nt. Dommering, par. 413. 

250 Zie ook EHRM (GK) 4 december 2015, nr. 47143/06 (Roman Zakharov/Rusland), par. 286- 
287, NJ 2017/185, m.nt. Dommering. Kritisch hierover De Hert en Malgieri 2021, p. 279- 
284. 

251 EHRM 25 mei 2021, ECLI:CE:ECHR:2021:0525JUD003525208 (Centrum for Rättvisa v. Swe- 
den), JBP 2021/62, m.nt. Moyakine, EHRC Updates, m.nt. Hagens en Oerlemans, par. 362. 
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Concluderend zet het EHRM in Big Brother Watch in eerste instantie een beoorde- 
lingskader voor bulkinterceptie door inlichtingendiensten uiteen”? Zoals hiervoor 
reeds vermeld, lijkt het kader echter eveneens van toepassing te zijn op bulkinter- 
ceptie in de strafvorderlijke context. In Huvig neigde het Straatburgse Hof meer 
naar een ‘rule-based’ benadering, in die zin dat het zes minimum eisen stelde aan 
surveillance-opsporingsbevoegdheden. In de wet moest onder andere zijn opge- 
nomen ten aanzien van welke strafbare feiten en bij welke personen interceptie 
mogelijk was. Door die benadering werd de fase van gegevensvergaring meer aan 
banden gelegd. In Big Brother Watch kiest het EHRM voor een nog sterkere ‘princi- 
ple based’ benadering.” Het EHRM ziet bulkinterceptie als één proces waarbij vol- 
doende ‘end-to-end’ waarborgen aanwezig moeten zijn om adequate en effectieve 
garanties te bieden tegen willekeur en het risico van misbruik. De introductie van 
dit nieuwe kader heeft als gevolg dat het EHRM meer ruimte biedt voor grootscha- 
lige gegevensvergaring in de initiële fase.?* Tegelijkertijd moet met betrekking tot 
de verwerkingsfase worden voorzien in voldoende bescherming en controlemoge- 
lijkheden voorafgaand aan het proces, tijdens én achteraf. Daarbij geldt dat, hoe 
verder de fase van verwerking gaat, des te groter de inbreuk op de privacy is, waar- 
door steeds meer waarborgen in de procedure moeten worden ingebouwd? Om- 
dat het EHRM niet meer spreekt van ‘minimum’ criteria, maar ‘voldoende’ eind- 
tot-eind-waarborgen, kan met minder stelligheid worden betoogd dat het niet vol- 
doen aan één van de voorwaarden direct tot een schending van artikel 8 EVRM 
zou leiden. Juist vanwege de meer principiële benadering, lijkt het mogelijk dat 
bijvoorbeeld het niet afdoende voorzien in toezicht voorafgaand aan de interceptie 
kan worden gecompenseerd met sterk toezicht tijdens of achteraf. Het gaat er uit- 
eindelijk om dat het gehele interceptieproces voldoende garanties biedt tegen mis- 
bruik en willekeur. 


252 In de zaak Ekimdzhiev e.a. herhaalt het EHRM het kader zoals uiteengezet in Big Brother 
Watch en past het toe op enerzijds het Bulgaarse wettelijk regime voor geheim toezicht 
en anderzijds het wettelijk regime rondom dataretentie en toegang tot communicatie- 
data. Het EHRM had in 2007 reeds geoordeeld dat het Bulgaarse wettelijk kader inzake 
‘secret surveillance’ in strijd was met artikel 8 EVRM. Inmiddels is de wetgeving gewij- 
zigd, maar de nieuwe regelgeving is volgens het EHRM nog steeds niet toereikend. Zie 
EHRM 11 januari 2022, nr. 70078/12 (Ekimdzhiev e.a./Bulgarije), par. 291, 394, 356 en 419. 

253 Zie over de verschuiving van een meer ‘rule-based’ benadering naar een ‘principle based’ 
benadering ook Van der Sloot 2012, par. V. 

254 Zie over meer ruimte voor gegevensvergaring ook Galië 2022, par. 3.2. 

255 Zie in dit kader ook Galië 2022, par. 4. 
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3.3.3 Tussenconclusie 


In deze paragraaf is in kaart gebracht welke richtsnoeren uit de rechtspraak van 
het EHRM inzake surveillance kunnen worden afgeleid voor wat betreft de norme- 
ring van onderzoek aan gegevens voor strafvorderlijke doeleinden. Daartoe is 
enerzijds ingegaan op de jurisprudentie inzake politionele en justitiële gegevens- 
banken en anderzijds relevante jurisprudentie inzake het onderscheppen en ver- 
werken van communicatiegegevens besproken. 

Allereerst wordt op grond van de Straatsburgse rechtspraak duidelijk dat 
de opslag van gegevens voor strafvorderlijke doeleinden snel een inbreuk op het 
recht op privacy behelst. Door de opslag wordt immers de mogelijkheid gecreëerd 
om — in een later stadium — een beeld van iemands leven te verkrijgen. Uiteraard 
speelt hierbij wel mee in hoeverre de gegevens daadwerkelijk iets over het privé- 
leven kunnen zeggen. Inbreuken kunnen evenwel zijn gerechtvaardigd mits (in elk 
geval) is voorzien in adequate wetgeving. Het EHRM spreekt daarbij niet expliciet 
van gegevensbeschermingsbeginselen, maar om misbruik en willekeur te voorko- 
men dienen wel degelijk gegevensbeschermingsrechtelijke beginselen in acht te 
worden genomen, zoals doelspecificatie, opslagbeperking en data-minimalisatie. 

De jurisprudentie inzake het — gericht — onderscheppen en verwerken van 
communicatie-gegevens laat voorts zien dat het EHRM óók belang hecht aan vol- 
doende waarborgen in de verwerkingsfase. Onder meer in de zaak Zakharov/Rus- 
land wordt duidelijk dat niet alleen de vergaring zelf met voldoende waarborgen 
moet zijn omgeven, maar tevens het gebruik van gegevens. Het EHRM spreekt in 
dit kader wederom niet expliciet van gegevensbeschermingsbeginselen. De voor- 
waarden die het EHRM stelt om de inbreuk op het recht op privacy te kunnen 
rechtvaardigen, kunnen evenwel opnieuw gekoppeld worden aan gegevensbe- 
schermingsrechtelijke uitgangspunten zoals opslagbeperking en data-minimalisa- 
tie. 

In Big Brother Watch en Centrum for Rättvisa introduceert het EHRM het 
begrip ‘bulkinterceptie’. Het EHRM voorziet daarbij niet in een duidelijke definitie, 
maar het is helder dat deze vorm van interceptie ongericht is. Het EHRM conclu- 
deert in deze uitspraken dat de waarborgen voor de vergaring en verwerking voor 
meer klassieke, op het individu gerichte opsporingsmethoden niet zonder meer 
van toepassing zijn op de vergaring en verwerking van bulkgegevens. Het stelt dat 
voor bulkinterceptie door inlichtingen- en veiligheidsdiensten aangepaste waar- 
borgen nodig zijn. Het EHRM hanteert daarbij geen afzonderlijke kaders voor de 
vergaring en de verwerking van bulkgegevens. Het beschouwt de vergaring en 


verwerking van bulkgegevens veeleer als één proces. Dit komt niet overeen met de 
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Nederlandse situatie waarin onderscheid wordt gemaakt tussen de vergaring en 
de verwerking van bulkgegevens. Het EHRM acht bulkinterceptie legitiem in het 
kader van het beschermen van de nationale veiligheid, zonder dat op dit punt een 
subsidiariteitstoets hoeft te worden aangelegd. Hoewel het beoordelingskader van 
het EHRM in eerste instantie ziet op de inlichtingencontext, sluit het EHRM niet 
uit dat bulkinterceptie eveneens wordt ingezet ten behoeve van de opsporing en 
lijkt het kader daarmee ook van toepassing in strafvorderlijk verband. 

Het EHRM presenteert vervolgens nog sterker dan voorheen een ‘princi- 
ple based’-kader. Misbruik van de bevoegdheid dient te worden voorkomen door 
voldoende ‘end-to-end’ waarborgen in de wet te incorporeren. Daarbij geldt dat, 
hoe verder de fase van verwerking gaat, des te groter de inbreuk op de privacy is, 
waardoor steeds meer waarborgen in de procedure moeten worden ingebouwd. In 
de fase van het vergaren van gegevens laat het EHRM lidstaten ruimte, in die zin 
dat bulkinterceptie niet slechts mogelijk is bij een bepaalde mate van dreiging van 
de nationale veiligheid of bij het voorkomen van bepaalde strafbare feiten. Ook 
stelt het EHRM geen minimumeis wat betreft de groep personen ten aanzien van 
wie communicatie wordt onderschept (zoals personen ten aanzien van wie een re- 
delijke verdenking bestaat). Waar het EHRM bij gerichte interceptie verlangt dat 
staten voorzien in een kader waarbij de interceptie enkel plaatsvindt ten aanzien 
van vooraf omschreven strafbare feiten en/of groepen personen, eist het EHRM dat 
dus niet bij ongerichte interceptie. Ook dwingt het EHRM lidstaten niet tot een 
notificatieplicht. Wel moet de wetgeving — zowel in het kader van de ‘legality’-eis 
als de ‘necessity’-eis -voldoen aan meer algemene uitgangspunten; de proportio- 
naliteit en subsidiariteit van de suveillancemaatregel moet worden geborgd door 
de procedure van interceptie in de wet op te nemen. Voorts moet toezicht worden 
gehouden op het proces ex tunc, ex nunc en ex post en dient een rechtsmiddel open 
te staan voor de burger. In de wet moet worden opgenomen: op basis van welke 
gronden bulkinterceptie is toegestaan, onder welke omstandigheden communica- 
tie mag worden onderschept, wie bevoegd is tot het verlenen van autorisatie, hoe 
de procedures voor het selecteren, analyseren en gebruiken van het onderschepte 
materiaal zijn geregeld, welke voorzorgsmaatregelen in acht worden genomen bij 
het verstrekken van materiaal aan andere partijen, wat de beperkingen van de 
duur van interceptie zijn, hoe de opslag van het onderschepte materiaal en de om- 
standigheden waaronder dit materiaal moet worden verwijderd en vernietigd is 
geregeld, welke procedures gelden voor het toezicht door een onafhankelijke in- 
stantie voorafgaand, tijdens en na het interceptieproces. De voorwaarden die het 
EHRM stelt kunnen gekoppeld worden aan uitgangspunten van het gegevensbe- 
schermingsrecht (doelbinding, doelspecificatie en data-minimalisatie). 
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Het EHRM laat zich in Big Brother Watch niet uit over verschillende soorten bulkin- 
terceptiemethoden. Het is onduidelijk of het EHRM nog een verschil maakt tussen 
meer of minder privacygevoelige informatie. Het is mogelijk dat het EHRM de le- 
galiteit en noodzakelijkheid bij het interceptieregime dat gevoeliger gegevens on- 
derschept strenger beoordeelt, zoals het EHRM in Big Brother Watch ook binnen de 
fase van analyse stelt dat de privacyinbreuk toeneemt naarmate het onderzoek aan 


de gegevens vordert en dat dan de behoefte aan waarborgen toeneemt. 


34 ARTIKEL 7 EN 8 HANDVEST GRONDRECHTEN EU 


Anders dan het EHRM heeft het Hof van Justitie EU (HvJ EU) zich vooralsnog 
nauwelijks uitgelaten over het vergaren en verwerken van gegevens met als doel 
de opsporing van strafbare feiten. Op een specifiek terrein heeft het HvJ EU echter 
wel richtinggevende jurisprudentie gewezen: het bewaren en vorderen van meta- 
gegevens in het belang van de opsporing en/of de nationale veiligheid in het kader 
van prejudiciële procedures inzake Richtlijn 2002/58.2 In het bijzonder heeft het 
HvJ EU zich uitgelaten over de vraag onder welke omstandigheden en met inacht- 
neming van welke waarborgen het bewaren van metagegevens en het verlenen van 
toegang hiertoe verenigbaar is met de in het Handvest van de Grondrechten van 
de Europese Unie (HGEU) neergelegde rechten inzake privacy (art. 7), gegevens- 
bescherming (art. 8) en de vrijheid van meningsuiting (art. 11). De jurisprudentie 
van het HvJ EU concentreert zich hier met name op de reikwijdte van de uitzonde- 
ring die de Richtlijn 2002/58 aan staten verschaft om af te wijken van enkele in de 
richtlijn vastgestelde verplichtingen en rechten. Hoewel deze jurisprudentie be- 
trekking heeft op een zeer specifiek onderwerp en louter op metagegevens, kan aan 
deze jurisprudentie niet voorbij worden gegaan?” Het HvJ EU toetst — anders dan 
het EHRM - niet alleen aan het recht op privacy, maar ook aan het recht op per- 
soonsgegevensbescherming. In het navolgende wordt in kaart gebracht welke 
voorwaarden uit de jurisprudentie van het HvJ EU kunnen worden afgeleid voor 
wat betreft onderzoek van gegevens voor strafvorderlijke doeleinden. Daartoe 
komt aan bod op welke wijze het HvJ EU het recht op privacy en persoonsgege- 
vensbescherming afbakent alsmede welke eisen en waarborgen het HvJ EU 


256 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende 
de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer 
in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische 
communicatie) van 31 juli 2002, p. 37-47. 

257 De jurisprudentie van het EHRM ziet ook op andersoortige gegevens, zoals de inhoud 
van communicatie alsmede publiek toegankelijke gegevens. 
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verlangt als inbreuk wordt gemaakt op deze rechten. Vervolgens wordt kort stil- 
gestaan bij enkele onduidelijkheden en volgt een tussenconclusie. 


341 Inbreuk 


Voor een goed begrip van de Unierechtelijke jurisprudentie inzake dataretentie 
zijn twee onderscheidingen van belang. In de eerste plaats maakt het HvJ EU on- 
derscheid tussen het bewaren en vorderen van gegevens. Bij het bewaren van ge- 
gevens gaat het om de vraag in hoeverre telecommunicatieaanbieders gegevens 
mogen opslaan in het belang van de opsporing of de nationale veiligheid. Het vor- 
deren van gegevens heeft betrekking op de vraag in hoeverre nationale (opspo- 
rings)autoriteiten toegang mogen verkrijgen tot de gegevens.”® In de tweede plaats 
maakt het HvJ EU onderscheid tussen enerzijds verkeers- en locatiegegevens en 
anderzijds identificerende gegevens en IP-adressen. Zoals hieronder zal blijken, 
leidt de verwerking van verkeers- en locatiegegevens doorgaans tot een ernstigere 
inbreuk op met name het recht op privacy dan de verwerking van identificerende 
gegevens en IP-adressen. 


3.4.1.1. Verkeers- en locatiegegevens 


Volgens het HvJ EU maakt het bewaren van verkeers- en locatiegegevens door tele- 
communicatieaanbieders inbreuk op de artikelen 7, 8 en 11 van het HGEU.? Niet 
alleen het recht op privacy (artikel 7 HGEU) en persoonsgegevensbescherming (ar- 
tikel 8 HGEU) is dus in het geding, ook het recht op vrijheid van meningsuiting 
(artikel 11 HGEU). De reden hiervoor is voornamelijk dat het bewaren van ver- 
keers- en locatiegegevens een chilling effect kan hebben op de gebruikers doordat 
deze zich steeds in de gaten gehouden kunnen voelen? De inbreuk die op artikel 
11 HGEU wordt gemaakt, blijft in het vervolg buiten beschouwing. 

Over de wijze waarop en de mate waarin het bewaren van verkeers- en 
locatiegegevens inbreuk maakt op het recht op privacy en het recht op gegevens- 
bescherming heeft het HvJ EU zich nader uitgelaten. Daarbij moet worden 


258 In Nederland spreken we van het vorderen van gegevens. Dat is geregeld in 126nc-126ni, 
126uc-126ui, 126zk-126zp Sv. 

259 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:2014:238 (Digital Rights Ireland), par. 
25 en 70; HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLL:EU:C:2016:970 (Tele2 Sve- 
rige AB), EHRC 2017/79, par. 91-92; HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, 
ECLLEEU:C:2020:791 (La Quadrature du Net), par. 113 en 118. 

260 HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 Sverige AB), 
EHRC 2017/79, par. 100-101; HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, 
ECLI:EU:C:2020:791 (La Quadrature du Net), par. 113, 114 en 118. 
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vooropgesteld dat het HvJ EU in zijn jurisprudentie ter zake dataretentie duidelijk 
maakt dat het recht op privacy en het recht op persoonsgegevensbescherming wel- 
iswaar overlappen, maar tegelijkertijd van elkaar verschillende rechten zijn”! Het 
recht op persoonsgegevensbescherming is in het geding zodra persoonsgegevens 
worden verwerkt. Daarvan is kort gezegd sprake als gegevens over een geïdentifi- 
ceerd of te identificeren individu worden verwerkt? Voor toepassing van het 
recht op gegevensbescherming is dus niet van belang om hoeveel gegevens het 
gaat en/of de gegevens gevoelig van aard zijn.” Het HvJ EU differentieert dan ook 
niet of nauwelijks in de mate en de wijze waarop inbreuk wordt gemaakt op het 
recht op persoonsgegevensbescherming. 

Voor het recht op privacy ligt een en ander wat anders. Of het recht op 
privacy van toepassing is, wordt eerst en vooral bepaald door de vraag in hoeverre 
uit de gegevens conclusies kúnnen worden afgeleid over het privéleven van een of 
meerdere personen. Inzake verkeers- en locatiegegevens heeft het HvJ EU geoor- 
deeld dat deze gegevens informatie prijsgeven “over een groot aantal aspecten van het 
privéleven van de betrokken personen, waaronder ook gevoelige informatie, zoals seksuele 
geaardheid, politieke opvattingen, religieuze, filosofische, maatschappelijke of andersoortige 
overtuigingen en gezondheid” 2* Verkeers- en locatiegegevens maken het mogelijk 
om onder meer de bron en de bestemming van communicatie, de datum, het tijd- 
stip, de duur, de frequentie, en de aard van communicatie en het adres en telefoon- 
nummer van gebruikers te achterhalen.?® Uit verkeers- en locatiegegevens kunnen 
aldus het HvJ EU ‘precieze, ja zelfs zeer nauwkeurige conclusies’ worden afgeleid 


over iemand persoonlijk leven. Tussen de inhoud van communicatie en verkeers- 


261 Zie in het bijzonder HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLLEU:C:2014:238 (Di- 
gital Rights Ireland Ireland), par. 29, 33-37. Overigens maakt het HvJ EU niet altijd goed 
onderscheid tussen deze rechten. Zie daarover nader Brkan 2017, p. 10-31. 

262 Zie in het bijzonder HvJ EU, C-293/12 en C-594/12, ECLI:EU:2014:238 (Digital Rights Ire- 
land). 

263 Over de waarde van het recht op persoonsgegevensbescherming bestaat dan ook veel 
discussie. Zie onder meer Gonzalez Fuster 2014; Van der Sloot 2017. 

264 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland Ire- 
land), par. 27; HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 
Sverige AB.), EHRC 2017/79, par. 99; HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, 
ECLLEEU:C:2020:791 (La Quadrature du Net.), par. 117; HvJ EU 5 april 2022, C-140/20, 
ECLI:EU:C:2022:258 (G.D./Commissioner An Garda Siochana), par. 45. 

265 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLLEU:C:2014:238 (Digital Rights Ireland), 
par. 27; HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 Sve- 
rige AB.), EHRC 2017/79, par. 98-99; HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, 
ECLE:EU:C:2020:791 (La Quadrature du Net.), par. 117. 
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en locatiegegevens kan volgens het HvJ EU dan ook geen principieel onderscheid 
meer worden gemaakt. 

Dat het bewaren van verkeers- en locatiegegevens (nog) niet ertoe leidt 
dat daadwerkelijk inzicht wordt verkregen in iemands privéleven, doet aan het 
voorgaande niet af. De bewaring vormt als zodanig een inbreuk op het recht op 
privacy, ongeacht het eventuele latere gebruik van deze gegevens, of het eventuele 
nadeel dat betrokkenen ondervinden.” Bij de beoordeling van de ernst van de in- 
menging in het privéleven die de bewaring van en toegang tot gegevens door op- 
sporingsautoriteiten met zich meebrengt, stelt het HvJ EU aldus voorop wat uit de 
gegevens kán worden afgeleid? Dit komt overeen met de benadering van het 
EHRM, zoals hiervoor is uiteengezet. 

Over de vraag of de toegang van overheidsinstanties tot de bewaarde ver- 
keers- en locatiegegevens inbreuk maakt op grondrechten heeft het HvJ EU zich 
eveneens expliciet uitgelaten. Het HvJ EU beschouwt de toegang tot de bewaarde 
verkeers- en locatiegegevens als een op zichzelf staande inbreuk op grondrechten 
die losstaat van de bewaring van de gegevens.” Het toegang verschaffen tot ver- 
keers- en locatiegegevens beschouwt het HvJ EU — evenals de bewaring — zonder 
meer als een inbreuk op het door artikel 8 HGEU gewaarborgde recht op bescher- 
ming van persoonsgegevens”? Daarnaast maakt de toegangsverschaffing volgens 
het HvJ EU inbreuk op het recht op privacy, waarbij het HvJ EU bovendien over- 
weegt dat deze inbreuk hoe dan ook ernstig van aard is, ongeacht de aard en de 
hoeveelheid van de gegevens alsmede de duur waarvoor toegang wordt gevraagd. 
Volgens het HvJ EU kan zelfs een beperkte hoeveelheid verkeers- en locatiegege- 
vens over een korte periode nauwkeurige informatie over het privéleven verschaf- 
fen. In het verlengde hiervan heeft het HvJ EU geoordeeld dat het in real time toe- 
gang verkrijgen tot verkeers- en locatiegegevens alsmede het geautomatiseerd 


266 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), 
par. 26-27; HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 
Sverige AB), EHRC 2017/79, par. 98-99. 

267 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 116. 

268 In dit opzicht wijkt het HvJ EU niet af van het EHRM, dat vaak ook vooropstelt wat uit 
de gegevens kan worden afgeleid. Zie daarover nader hoofdstuk 3, § 3.1.1. 

269 HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLL:EU:C:2016:970 (Tele2 Sverige AB), 
EHRC 2017/79, par. 113. 

270 HvJ EU 2 oktober 2018, C-207/16, ECLI:EU:C:2018:788 (Ministerio Fiscal), par. 51. 
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analyseren van verkeers- en locatiegegevens — aan de hand van filtertechnieken — 


zonder meer ernstig inbreuk maakt op het recht op privacy”! 


3.4.1.2 IP-adressen en identificerende gegevens 


Naast verkeers- en locatiegegevens heeft het HvJ EU zich ook uitgelaten over iden- 
tificerende gegevens en IP-adressen. Deze categorie gegevens kan doorgaans min- 
der over het privéleven vrijgeven dan verkeers- en locatiegegevens.””? De bewa- 
ring?” van en de toegangsverschaffing®”* tot deze gegevens betreft derhalve geen 
‘ernstige’ inbreuk op de rechten in artikelen 7 en 8 HGEU. Desalniettemin sluit het 
HvJ EU niet uit dat de verwerking van IP-adressen tot een ernstige inbreuk op de 
artikelen 7 en 8 HGEU kán leiden. Dit is het geval als de adressen in een later sta- 
dium “worden gebruikt om de volledige zoekgeschiedenis van een internetgebruiker te tra- 
ceren en dus om een volledig beeld te krijgen van diens online activiteit”, waarmee ver- 
volgens een gedetailleerd profiel van de betrokkene kan worden opgesteld. Ook 
hier weegt voor het vaststellen van de inbreuk op het recht op privacy dus mee op 
welke wijze de gegevens kunnen worden gebruikt. 


3.4.2 Gerechtvaardigde inbreuk 
3.4.2.1 Verkeers- en locatiegegevens 


Ter zake van de vraag of het bewaren van verkeers- en locatiegegevens ter bestrij- 
ding van (ernstige) criminaliteit is toegestaan, is het HvJ EU duidelijk. Lidstaten 
mogen alleen voorzien in de verplichting tot gerichte bewaring van verkeers- en 
locatiegegevens ten behoeve van zware criminaliteit. Een algemene en ongedifferen- 


tieerde bewaarplicht van verkeers- en locatiegegevens is dus niet toegestaan ter 


271 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net.), par. 174. 

272 HvJ EU 2 oktober 2018, C-207/16, ECLI:EU:C:2018:788 (Ministerio Fiscal), par. 59-60; HvJ 
EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature du 
Net), par. 152. 

273 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 152 en 153. 

274 HvJ EU 2 oktober 2018, C-207/16, ECLI:EU:C:2018:788 (Ministerio Fiscal), par. 60 en 61. 

275 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 153. 
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bestrijding van ernstige criminaliteit”? Onder bepaalde omstandigheden kan een 
ongedifferentieerde en algemene bewaarplicht in het belang van de nationale vei- 
ligheid wel gerechtvaardigd zijn”? Voorts heeft het HvJ EU enkele piketpaaltjes 
geslagen aan de hand waarvan een gerichte bewaarplicht kan worden afgebakend. 
Het HvJ EU benoemt twee factoren: 


1. De kring van bepaalde personen die op een of andere wijze betrokken kun- 
nen zijn bij zware criminaliteit of personen waarvan de bewaring van gege- 
vens om andere redenen zou kunnen helpen bij het bestrijden van zware 
criminaliteit; en/of 


2. Een bepaalde tijdperiode en/of geografische zone.” 


Ondanks recente jurisprudentie over de invulling van deze factoren,” blijft veel 
onduidelijkheid bestaan over de wijze waarop nationale lidstaten de geformu- 
leerde factoren moeten omzetten in een gerichte bewaarplicht. 

Met betrekking tot het verlenen van toegang van overheidsinstanties in het 
kader van strafvordering tot de bewaarde verkeers- en locatiegegevens (niet 
slechts identificerende gegevens) formuleert het HvJ EU vijf eisen: 


276 Een algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens ten be- 
hoeve van de bestrijding van zware criminaliteit, gaat volgens het HvJ EU verder dan 
strikt noodzakelijk en is niet gerechtvaardigd in een democratische samenleving. Zie Hv] 
EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature du 
Net), par. 141. 

277 HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 Sverige AB), 
EHRC 2017/79, par. 134. Dergelijke bewaring kan onder omstandigheden wel gerecht- 
vaardigd zijn in het belang van de nationale veiligheid. HvJ EU 6 oktober 2020, C-511/18, 
C-512/18, C-520/18, ECLLEU:C:2020:791 (La Quadrature du Net), par. 134-139. 

278 HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), 
par. 59; HvJ EU 21 december 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 
Sverige AB), EHRC 2017/79, par. 106; HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, 
ECLI:EU:C:2020:791 (La Quadrature du Net.), par. 144. In HvJ EU 5 april 2022, C-140/20, 
ECLI:EU:C:2022:258 (G.D./Commissioner An Garda Síochána), par. 75 heeft het HvJ EU ver- 
duidelijkt dat een voorwaarde dat een concrete verdachte of plaatsen waar een ernstig 
strafbaar feit kan worden gepleegd op voorhand bekend zijn, niet wordt gesteld. 

279 Zie o.a. HvJ EU 5 april 2022, C-140/20, ECLLEU:C:2022:258 (G.D./ Commissioner An Garda 
Síochána). 

280 Zie nader hierover: M. Koning, annotatie bij HvJ EU 21 december 2016, C-203/15 en 
C698/15, ECLI:EU:C:2016:970 (Tele2 Sverige AB), EHRC 2017/79, onder 6; A-G Campos 
Sanches-Bordona 15 januari 2020, C-520/18, ECLI:EU:C:2020:7 (Ordre des barreaux franco- 
phones et germanophone e.a.), par. 88; Te Molder 2021. 
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1. De toegang tot gegevens is beperkt tot de doelstelling van de bestrijding 
van zware of ernstige criminaliteit;?*! 

2. De toegang mag alleen worden verleend indien het gaat om personen die 
ervan worden verdacht een ernstig strafbaar feit te plannen, te plegen of te 
hebben gepleegd of op een andere wijze betrokken zijn bij een dergelijk mis- 
drijf; 

3. De toegang dient voorafgaand te worden getoetst door een rechter of een 
bestuurlijke onafhankelijke entiteit;?83 

4. Er geldt een notificatieplicht;?* en 

5. Lidstaten dienen te voorzien in regels over de beveiliging en bescherming 


van gegevens. 


Waar het HvJ EU de toegang tot gegevens beperkt tot ‘ernstige criminaliteit’, kent 
het EHRM niet een dergelijke beperking. Voorts begrenst het HvJ EU de toegang 
tot gegevens tot een beperkte kring van personen (namelijk verdachten), terwijl het 
EHRM ook dat niet doet. 

In tegenstelling tot het EHRM formuleert het HvJ EU bovendien een no- 
tificatieplicht bij het verkrijgen van toegang tot bewaarde gegevens door commu- 
nicatiediensten. Deze verschillen in benadering kunnen worden verklaard door de 
specificiteit van het kader waarin het HvJ EU de genoemde rechtspraak heeft ge- 
wezen. Het gaat om het bewaren en het verkrijgen van toegang tot gegevens die in 
het kader van commerciële activiteiten van een aanbieder van elektronische-com- 
municatiediensten zijn verwerkt en bewaard, en vervolgens door de bevoegde over- 
heidsdiensten zijn opgevraagd en gebruikt. De bescherming van de gegevens 
wordt hier beheerst door Richtlijn 2002/58/EG (de Richtlijn betreffende privacy en 
elektronische communicatie). Deze situatie dient onderscheiden te worden van 


281 Wat precies als ernstige of zware criminaliteit kan worden gekwalificeerd, is niet duide- 
lijk. Zie daarover onder meer Sholeh 2022 alsmede HR 5 april 2022, 
ECLI:NL:HR:2022:475. 

282 De Hoge Raad werpt in HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.10.2-6.10.4 de vraag 
op of ook toegang mag worden verkregen tot gegevens die (nog) niet te herleiden zijn tot 
een persoon. De Hoge Raad oordeelt van wel. 

283 In HvJ EU 2 maart 2021, C-746/18, ECLI:EU:C:2021:152 (H.K., in tegenwoordigheid van Pro- 
kuratuur) heeft het HvJ EU geoordeeld dat een openbaar aanklager doorgaans niet vol- 
doende onafhankelijk is. Zie over de consequenties van dit onderdeel van Prokuratuur 
HR 5 april 2022, ECLI:NL:HR:2022:475. 

284 Daarmee worden betrokken personen in staat gesteld om gebruik te maken van het recht 
op beroep, zoals expliciet door artikel 15 lid 2 Richtlijn 2002/58 voorzien HvJ EU 21 de- 
cember 2016, C-203/15 en C-698/15, ECLI:EU:C:2016:970 (Tele2 Sverige AB), EHRC 
2017/79, par. 121. 
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gegevens die rechtstreeks door activiteiten van de overheid op strafrechtelijk gebied 
worden vergaard en verwerkt. In dit geval wordt de bescherming van de gegevens 
van personen niet beheerst door Richtlijn 2002/58/EG, maar door nationaal recht 
en de vereisten van het EVRM.**5 In dit geval geldt dus niet de limitatie van ‘ern- 
stige criminaliteit’, ‘kring van verdachte personen’ en geldt geen notificatieplicht. 


3.4.2.2 IP-adressen en identificerende gegevens 


Zoals hierboven uiteengezet, vormen identificerende gegevens en IP-adressen een 
bijzondere categorie verkeersgegevens, nu hieruit doorgaans minder vergaande 
conclusies over het privéleven zijn af te leiden dan de zojuist besproken verkeers- 
en locatiegegevens. Wettelijke maatregelen die strekken tot verwerking van iden- 
tificerende gegevens (bewaring van en toegang tot), zonder dat deze gegevens in 
verband kunnen worden gebracht met informatie over de tot stand gebrachte com- 
municatie, kunnen dan ook worden gerechtvaardigd door de in artikel 15 lid 1 
Richtlijn 2002/58 genoemde doelstelling van het voorkomen van strafbare feiten in 
het algemeen (en dus niet alleen de zware criminaliteit). Deze doestelling maakt 
het dus mogelijk voor lidstaten om te voorzien in een verplichting tot algemene, 
ongedifferentieerde en ongelimiteerde bewaring van identificerende gegevens van 
gebruikers van telecommunicatiediensten, zoals naam, voornaam en adres. 
Voor de bewaring van IP-adressen ligt een en ander wat genuanceerder. 
Hoewel IP-gegevens een ernstige inmenging in de door artikelen 7 en 8 HGEU ge- 
waarborgde rechten kunnen vormen, toont het HvJ EU begrip voor de argumenten 
van staten dat IP-adressen in geval van cybercriminaliteit soms het enige onder- 
zoeksmiddel kunnen vormen voor de identificatie van personen die betrokken zijn 
bij zeer ernstige strafbare feiten online, zoals kinderporno. Om deze reden acht het 
HvJ EU een algemene en ongedifferentieerde bewaring van de IP-adressen die zijn 
toegewezen aan de bron van een verbinding (en dus niet aan die van de ontvanger) 
gerechtvaardigd ter bestrijding van zware criminaliteit, ondanks het gegeven dat de 
bewaarplicht zich uitstrekt tot personen die niet eens een indirecte band met het 
doel van criminaliteitsbestrijding hebben”? De bewaartermijn mag ook hier niet 


langer dan strikt noodzakelijk zijn. Tot slot moet de nationale maatregel ook in 


285 Zie ook HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La 
Quadrature du Net), par. 103. 

286 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 157-158. 

287 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 155-156. 
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strikte voorwaarden en waarborgen bieden voor het gebruik van die gegevens, in het 
bijzonder voor wat betreft het in kaart brengen van de online-communicatie en de 


online-activiteiten van de personen. 


34.3 Openstaande vragen en kritiek 


De jurisprudentie van het HvJ EU is onderwerp van discussie, zowel in de rechts- 
praktijk als in de wetenschappelijke literatuur.?*? In het kader van het onderhavige 
onderzoek is het niet noodzakelijk deze discussie hier uitgebreid weer te geven. 
Wel willen wij nader de aandacht richten op de wijze waarop het HvJ EU het recht 
op privacy afbakent, nu dit recht een van de belangrijkste normerende kaders 
vormt voor de ontwikkeling van wetgeving op het gebied van onderzoek aan ge- 
gevens voor strafvorderlijke doeleinden. 

Uit het voorgaande volgt dat het HvJ EU kiest voor een benadering waar- 
bij de inbreuk op het recht op privacy wordt bepaald door de vraag in hoeverre het 
verwerken van (een combinatie van) gegevens iets kan prijsgeven over het privé- 
leven van een of meer individuen. Belangrijk hierbij is dus dat het HvJ EU niet 
alleen kijkt naar wat uit een gegeven als zodanig kan worden afgeleid, maar ook 
naar wat uit de gegevens in combinatie kan worden afgeleid.? Zo zegt een ver- 
keersgegeven of een IP-adres als zodanig weinig over iemands privéleven, maar 
als deze gegevens gecombineerd worden verwerkt kan hieruit worden afgeleid 
waar iemand zich heeft bevonden of welke handelingen iemand heeft verricht op 
het internet. Deze benadering past goed bij de gedigitaliseerde samenleving, 
waarin het steeds gemakkelijker wordt om gegevens gekoppeld te verwerken?! 
Het probleem is echter dat het HvJ EU bij de vraag onder welke omstandigheden 
en met inachtneming van welke waarborgen de inbreuk kan worden gerechtvaar- 
digd uit het oog lijkt te verliezen dat niet elke verwerking van bepaalde type gege- 
vens tot een ernstige inbreuk op het recht op privacy hoeft te leiden. Zo behoeft het 


vorderen van locatiegegevens — ook als dat gebeurt aan de hand van 


288 HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791 (La Quadrature 
du Net), par. 156. 

289 Zie onder meer HR 5 april 2022, ECLI:NL:HR:2022:475 alsmede Oerlemans e.a. 2021; Te 
Molder 2021; Sholeh 2022; De Keersmaecker & Van de Heyning 2022; Eskens 2022. 

290 In deze benadering is dus duidelijk de in de literatuur over privacy bekendstaande mo- 
zaiektheorie te herkennen. Zie daarover nader Koops 2021, p. 541 en 542 en in relatie tot 
locatiebepaling als opsporingsmethode. 

291 Zie in dit verband onder meer de conclusie van A-G Piruzella, par. 81. Vgl. voorts A-G 
Keulen 21 december 2021, ECLI:NL:PHR:2021:1184, pnt. 108. 
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filteringssoftware?*? — van een concreet individu over een relatief beperkte periode 
niet tot een ernstige inbreuk op het recht op privacy te leiden, omdat hiermee hoog- 
uit inzicht kan worden verkregen in waar iemand zich in een bepaalde periode 
bevond. Het HvJ EU heeft echter geoordeeld dat de toegang van overheidsinstan- 
ties tot locatiegegevens zonder meer een ernstige inbreuk op het recht op privacy 
oplevert en dus alleen is toegestaan als het gaat om ‘ernstige criminaliteit” De 
benadering van het HvJ EU bergt dus het risico van overnormering in zich, in die 
zin dat voor relatief beperkte inbreuken op het recht op privacy wel erg strenge 
eisen en waarborgen worden geformuleerd.” In recente jurisprudentie heeft de 
Hoge Raad het HvJ EU door middel van het stellen van een prejudiciële vraag aan- 
gespoord zich nader uit te laten over de vraag in hoeverre het verwerken van ver- 
keers- en locatiegegevens steeds tot een dusdanig ernstige inbreuk op het recht op 
privacy leidt dat zulks alleen onder bepaalde voorwaarden met inachtneming van 


strenge waarborgen is toegestaan. 


344 Tussenconclusie 


De vraag is nu welke lessen kunnen worden getrokken uit de jurisprudentie van 
het HvJ EU voor de normering van opsporingsonderzoek aan reeds verkregen ge- 
gevens. Allereerst is een voorbehoud op zijn plaats. De jurisprudentie van het HvJ 
EU omtrent de conformiteit van bewaring van en toegang tot verkeers- en locatie- 
gegevens van telecommunicatieaanbieders is in ontwikkeling. Het gaat om gezag- 
hebbende arresten, vaak door de Grote Kamer gewezen, die vooralsnog vele vra- 
gen doen rijzen. De consequentie hiervan is dat uit deze jurisprudentie weinig 
harde conclusies zijn af te leiden met betrekking tot onderzoek van gegevens voor 
strafvorderlijke gegevens. Niettemin vallen een tweetal punten op. 


292 Het HvJ EU heeft zich ook uitgelaten over filteringssoftware en geoordeeld dat deze soft- 
ware alleen mag worden toegepast in het kader van terrorisme. Vanwege de prejudiciële 
vraag heeft het HvJ EU zich niet uitgelaten over de vraag of deze software ook kan wor- 
den gebruikt voor andere strafbare feiten dan terrorisme. 

293 Bovendien laat A-G Keulen (21 december 2021, ECLI:NL:PHR:2021:1184, pnt. 71) zien dat 
het ook niet altijd logisch is om een koppeling te maken tussen de ernst van de privacyin- 
breuk en de ernst van een strafbaar feit. Een ingrijpende inmenging is het privéleven van 
personen, door bijvoorbeeld een doorzoeking van een woning, is niet beperkt tot bestrij- 
ding van ernstige criminaliteit. De forse inmenging in het privéleven rechtvaardigt wel 
dat het aan de rechter-commissaris en niet aan de Officier van Justitie of een gewone 
opsporingsambtenaar is om de doorzoekingsbeslissing te nemen. 

294 Zie in deze zin ook A-G Keulen, 21 december 2021, ECLENL:PHR:2021:1184, pnt. 97-113. 

295 HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 8.4. 
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In de eerste plaats is opmerkelijk dat het HvJ EU weliswaar steeds vaststelt dat 
inbreuk is gemaakt op het recht op gegevensbescherming, maar dat het hieraan 
niet of nauwelijks consequenties lijkt te verbinden. Bij de vraag of de inbreuk van 
een verwerkingshandeling kan worden gerechtvaardigd, besteedt het HvJ EU bij- 
voorbeeld geen aandacht aan de in artikel 8 HGEU neergelegde beginselen van 
doelbinding. Hierdoor ontstaat onduidelijkheid over de relatie tussen artikel 7 en 
8 HGEU. Privacy en gegevensbescherming zijn verschillende rechten, maar de ei- 
sen en waarborgen die uit deze rechten voortvloeien lijken te overlappen. 

In de tweede plaats valt op dat het HvJ EU uitgaat van een privacybegrip, 
waarbij voor de vraag of het verwerken van gegevens inbreuk maakt op het recht 
op privacy niet alleen wordt gekeken naar wat uit de gegevens als zodanig kan 
worden afgeleid, maar ook naar wat de gegevens in combinatie over het privéleven 
kunnen prijsgeven. Deze benadering komt op dit punt overeen met de Straat- 
burgse interpretatie. De benadering heeft als voordeel dat niet te gemakkelijk 
wordt voorbijgegaan aan het feit dat gegevens vaak in samenhang veel over het 
privéleven kunnen zeggen. De consequentie die het HvJ EU hieraan vervolgens 
verbindt bij de vraag onder welke omstandigheden en met welke waarborgen de 
inbreuk kan worden gerechtvaardigd is evenwel niet altijd goed te volgen. In zijn 
jurisprudentie lijkt het HvJ EU te hebben gekozen voor een benadering waarbij de 
verwerking van bepaalde type gegevens — bijvoorbeeld verkeers- en locatiegege- 
vens — zonder meer tot een ernstige privacyinbreuk leidt en daarom slechts onder 
bepaalde omstandigheden (alleen ter bestrijding van ernstige criminaliteit) is toe- 
gestaan en met strenge waarborgen moet worden omgeven. Deze benadering, 
waarbij de mate van rechtsbescherming wordt gekoppeld aan een type gegeven, 
kan leiden tot overnormering. Niet elke verwerking van verkeers- en locatiegege- 
vens hoeft immers tot een ernstige inbreuk op het recht op privacy te leiden. Het 
koppelen van het verwerken van een bepaald type gegeven aan strengere waar- 
borgen wijkt voorts weer af van het EHRM-kader. 


3.5 CONCLUSIE 


In dit hoofdstuk is in kaart gebracht welke eisen en waarborgen relevante Europese 
rechtsbronnen stellen aan de normering van onderzoek van reeds in de opsporing 
verkregen gegevens. Daarbij is allereerst ingegaan op de verplichtingen die volgen 
uit de Richtlijn 2016/680. De Richtlijn 2016/680 gaat uit van het recht op gegevens- 
bescherming, maar heeft tegelijkertijd oog voor de belangen van autoriteiten bij de 
opsporing van strafbare feiten. EU-lidstaten die gegevens verzamelen en 
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verwerken voor strafvorderlijke doeleinden dienen het rechtmatigheidsbeginsel, 
het eerlijkheidsbeginsel, het doelbindingsbeginsel, het data-minimalisatiebeginsel 
en het juistheidsbeginsel in acht te nemen. Van belang is dat het doelbindingsbe- 
ginsel geen absolute werking kent. Doelafwijkend gebruik is toegestaan, mits dit 
is voorzien bij wet en alleen als het noodzakelijk en proportioneel is. De Richtlijn 
2016/680 maakt niet precies duidelijk hoe breed of eng afzonderlijke doeleinden in 
de nationale wetgeving moeten worden geformuleerd en wanneer aldus sprake is 
van verenigbaar doelgebruik dan wel doelafwijkend gebruik. Het lijkt erop dat aan 
lidstaten een bepaalde marge voor de invulling van het doelbindingsbeginsel is 
voorbehouden. Voorts schrijft de Richtlijn 2016/680 voor dat lidstaten dienen te 
voorzien in intern en onafhankelijk extern toezicht. De bevoegdheden van toezicht- 
houders bestaan uit het doen van onderzoek, het nemen van corrigerende maatre- 
gelen en het geven van advies. Het is de vraag of de Richtlijn 2016/680 lidstaten 
verplicht tot het opnemen van enkele concrete bevoegdheden zoals deze in de 
Richtlijn 2016/680 tot uitdrukking komen. Belangrijk hierbij is de verplichting voor 
lidstaten om de effectiviteit van het toezicht te waarborgen. 

Vervolgens is ingegaan op de verplichtingen die voortvloeien uit het recht 
op privacy in artikel 8 EVRM. Het wordt op grond van de jurisprudentie van het 
EHRM duidelijk dat zowel de vergaring, de opslag als de verdere verwerking van 
gegevens voor strafvorderlijke doeleinden een inbreuk op de privacy met zich 
meebrengen en met voldoende waarborgen dienen te zijn omkleed. Het EHRM 
beoordeelt de waarborgen uiteraard in het licht van het recht op privacy en niet in 
het licht van het recht op gegevensbescherming. Tegelijkertijd valt op dat de con- 
dities waar het EHRM waarde aan hecht gekoppeld kunnen worden aan gegevens- 
beschermingsrechtelijke uitgangspunten zoals doelbinding, opslagbeperking en 
data-minimalisatie. Met betrekking tot bulkinterceptie presenteert het EHRM een 
afzonderlijk ‘principle based’ kader van acht waarborgen die van het begin tot het 
einde van het interceptietraject in aanmerking moeten worden genomen. Het be- 
schouwt daarbij het proces van dataverzameling en verwerking als één geheel. Hoe 
verder de fase van verwerking gaat, des te groter de inbreuk op de privacy is, waar- 
door steeds meer waarborgen in de procedure moeten worden ingebouwd. Staten 
dienen de proportionaliteit en subsidiariteit van gegevensvergaring en verwerking 
te borgen door te voorzien in duidelijke en voldoende afgebakende regelgeving 
omtrent de gronden, omstandigheden en procedure van gegevensverwerking en 
inzake de opslag van gegevens. Voorts moet worden voorzien in toezicht vooraf, 
ten tijde van en na het interceptieproces en dient een rechtsmiddel open te staan 
voor de burger. 
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Het Hof van Justitie heeft zich bij de beantwoording van prejudiciéle vragen met 
betrekking tot Richtlijn 2002/58/EG zowel uitgelaten over het recht op privacy als 
bedoeld in artikel 7 HGEU als het recht op bescherming van persoonsgegevens in 
artikel 8 HGEU. Wat opvalt is dat het HvJ EU tot strengere eisen komt dan het 
EHRM als het gaat om het opvragen van gegevens door de overheid bij communi- 
catieaanbieders en het gebruik van deze gegevens voor strafvorderlijke doelen. 
Meer principieel lijkt het HvJ EU een privacybegrip te hanteren waarbij een in- 
breuk niet alleen wordt beoordeeld aan de hand van gegevens als zodanig, maar 
ook naar wat gegevens in combinatie over het privéleven kunnen prijsgeven. Dit 
komt overeen met de Straatsburgse benadering. Tegelijkertijd lijkt het HvJ EU alle 
verkeers- en locatiegegevens te waarderen als privacygevoelig, waardoor direct 
een strenger regime van waarborgen wordt vereist. Dit komt niet overeen met de 
benadering van het EHRM. 


4 Verzameling en verwerking van gegevens 
onder de Wiv 2017 


4.1 INLEIDING 


In dit hoofdstuk wordt ingegaan op de normering van de gegevensverwerking en 
verdere verwerking van gegevens door de inlichtingen- en veiligheidsdiensten zo- 
als deze tot uitdrukking komt in de Wet op de inlichtingen- en veiligheidsdiensten 
2017 (afgekort tot: Wiv 2017). Het gaat daarbij om onderzoek dat wordt uitgevoerd 
door de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) en door de 
Militaire Inlichtingen- en Veiligheidsdienst (MIVD). De taken van de AIVD en 
MIVD komen tot uitdrukking in artikel 8 lid 2 respectievelijk artikel 10 lid 2 Wiv 
2017. Beide diensten werken op vergelijkbare wijze waarbij de AIVD zich vooral 
richt op bedreigingen en ernstige risico’s voor de Nederlandse samenleving?”, ter- 
wijl de MIVD onderzoek doet naar onderwerpen die defensie raken. In de Wiv 
2017 zijn de bevoegdheden van de diensten nader geregeld, zowel voor wat betreft 
het verzamelen als voor het verder verwerken van gegevens. Daarnaast is er een 
aantal andere onderwerpen geregeld, waaronder het toezicht op de diensten. 

De inlichtingentaak van de diensten moet worden onderscheiden van de 
opsporingstaak van de politie. Het gaat hier om duidelijk gescheiden sferen. In- 
lichtingendiensten verzamelen inlichtingen om langs die weg hun informatieposi- 
tie te versterken en zicht te krijgen op de bedreigingen en ernstige risico’s voor de 
Nederlandse samenleving of krijgsmacht.” Analyses van de inlichtingendiensten 
hebben vooral een voorspellend karakter, terwijl het bij de opsporing van oudsher 
gaat om het vergaren van bewijs over reeds gepleegde strafbare feiten.”°* Dat het 
gescheiden sferen betreft, komt onder andere tot uitdrukking in artikel 13 Wiv 2017 
waarin is opgenomen dat de ambtenaren van de diensten geen bevoegdheid heb- 
ben tot het opsporen van strafbare feiten. De door de diensten verzamelde 


296 Meer specifiek worden in art. 8 lid 2 onder a Wiv 2017 verwezen naar gevaren ‘voor het 
voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere 
gewichtige belangen van de staat’. 

297 Onder inlichtingen worden verstaan producten die door speciale eenheden van de politie 
of inlichtingen- en veiligheidsdiensten worden geleverd aan afnemers, zodat zij betere 
beslissingen kunnen nemen. Zie Oerlemans 2020, p. 6. Vis definieert inlichtingen als ‘in- 
formatie-items die heimelijk en proactief, dat wil zeggen op eigen initiatief, zijn verza- 
meld’ (Vis 2012, p. 5). 

298 Van Wifferen 2003, p. 618. Zie voor het klassieke onderscheid tussen het werk van de 
veiligheidsdiensten en de politie: Vis 2012, p. 58-60. Zie voorts Kamerstukken II 2016/17, 
34 588, nr. 3 (MvT Wiv 2017), p. 13. 
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gegevens mogen ook niet zomaar voor strafvorderlijke doeleinden worden ge- 
bruikt. De diensten beschikken immers over ruimere bevoegdheden. Het onbe- 
perkt en ongeclausuleerd gebruiken van gegevens verzameld door inlichtingen- 
diensten zou het risico meebrengen dat strafvorderlijke waarborgen buiten toepas- 
sing blijven. Voorts is het probleem dat de gegevens die de diensten vergaren niet 
door opsporingsdiensten zelf op hun betrouwbaarheid kunnen worden getoetst in 
verband met de bronbescherming. Indien de diensten stuiten op relevante infor- 
matie omtrent (nog te plegen) strafbare feiten, dan kan die informatie wel worden 
verstrekt aan de politie, maar uitsluitend langs de daarvoor bestemde procedure, 
te weten in de vorm van een ambtsbericht aan de landelijke Officier van Justitie 
(art. 62 Wiv 2017). De AIVD en MIVD mogen — anders dan in sommige andere 
landen — geen mensen aanhouden, hun activiteiten zijn primair op informatiever- 
garing gericht! ‘Inlichtingenwerk is immers in essentie gegevensverwerking’, al- 
dus de Memorie van Toelichting bij de Wiv 2017.5 

Hoewel de opsporing en de diensten in gescheiden sferen, in aparte orga- 
nisaties en met eigen wettelijke bevoegdheden opereren, zijn hun activiteiten 
steeds meer naar elkaar toegegroeid doordat ook de politie steeds meer proactief 
en informatie-gestuurd is gaan werken. Er vallen duidelijk parallellen te trekken 
tussen het vergaren van informatie ten behoeve van de opsporing en het verzame- 
len van informatie ten behoeve van de inlichtingentaak. De diensten hebben echter 
aanmerkelijk meer ervaring met het verwerken van grote hoeveelheden informa- 
tie, waarbij ook informatie over willekeurige derden (non-targets) wordt verwerkt. 
Het is dan ook nuttig te kijken hoe de verwerking van informatie in dit domein 
wordt genormeerd, temeer daar de Wiv als gevolg van de voortschrijdende tech- 
niek al meermalen is herzien en ook recent is geëvalueerd.% Hoewel daaruit blijkt 
dat ook de Wiv 2017 nog niet geheel naar ieders voldoening functioneert, is wel 
duidelijk dat de discussie over de relatie tussen het verzamelen van informatie en 
verder verwerken van die informatie en de waarborgen die daarvoor moeten gel- 
den al op een hoger niveau wordt gevoerd. Bovendien is het nuttig met een ‘inlich- 
tingenbril’ te kijken naar de praktijk binnen de opsporing/strafvordering, omdat 
dan andere zaken eruit springen dan wanneer uitsluitend vanuit strafvorderlijk 


299 Zie het verschil tussen inlichtingen en opsporing Brinkhoff 2014 en Van Wifferen 2003, 
p. 617-621. 

300 Zie hierover in meer detail Brinkhoff 2014, p. 184 e.v. 

301 Zij kunnen echter onder bepaalde omstandigheden wel acteren op de vergaarde infor- 
matie door bepaalde activiteiten te verstoren en targets kenbaar te maken dat de diensten 
hen op het oog heeft. 

302 Kamerstukken II 2016/17, 34 588, nr. 3, p. 27. 

303 Zie het Rapport Commissie Jones-Bos 2020 en daaraan voorafgaand het Rapport Commissie 
Dessens 2013. Onlangs is ook een advies van de Commissie Bovend'Eert verschenen dat 
vooral is gericht op het toezicht op de diensten. Rapport Commissie Bovend'Eert 2022. 
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perspectief wordt gekeken. Echter, de wijze waarop normering in de Wiv 2017 is 
vormgegeven kan niet leidend zijn in de zin van identieke eisen die moeten wor- 
den gesteld aan de strafvorderlijke gegevensverwerking, nu vanuit internationaal 
mensenrechtelijk perspectief andere eisen worden gesteld aan het optreden van 
veiligheids- en inlichtingendiensten dan aan opsporingsdiensten, ook daar waar 
zij identieke bevoegdheden hebben. Ten behoeve van de bescherming van de nati- 
onale veiligheid is meer toegestaan dan ten behoeve van een concreet strafbaar feit, 
zoals ook tot uitdrukking komt in de meer verstrekkende bevoegdheden van de 
diensten. 

In dit hoofdstuk zal antwoord worden gegeven op de vraag welke rele- 
vante gezichtspunten aan de Wiv 2017 kunnen worden ontleend voor wat betreft 
de normering van gegevensverwerking voor (strafvorderlijke) onderzoeksdoelein- 
den. Daartoe wordt in kaart gebracht welke keuzes en uitgangspunten ten grond- 
slag liggen aan de normering van de verwerking van gegevens in de Wiv 2017 en 
welke lessen daaruit mogelijk voor de wetgever te trekken zijn met het oog op de 
normering van de verwerking van persoonsgegevens voor de opsporing. Bij de 
bespreking ligt het zwaartepunt bij de systematiek en uitgangspunten. De wet zal 
dan ook op hoofdlijnen worden besproken, waarbij vooral de samenhang tussen 
de fase van het verzamelen en het verder verwerken en de daaraan gekoppelde 
normering centraal staat. Tevens zal — daar waar relevant — worden gerefereerd 
aan de plannen van de wetgever zoals die tot uitdrukking komen in het concept- 
wetsvoorstel “Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een of- 
fensief cyberprogramma’ dat op 1 april 2022 in consultatie is gegaan en ten tijde 
van het afronden van het rapport aanhangig was bij de Raad van State. Met die 
tijdelijke wet is beoogd dat de AIVD en de MIVD, deels in aanvulling op en deels 
in afwijking van de Wiv 2017, effectiever en sneller invulling kunnen geven aan de 
bestaande bevoegdheden tot bulkinterceptie en hacken om zodoende beter zicht te 
houden op de dreiging van landen met een offensief cyberprogramma. De bedoe- 
ling is dat deze tijdelijke voorziening wordt vervangen door een definitieve rege- 
ling neergelegd in een breder wetsvoorstel dat thans wordt voorbereid.5 De 


304 Dat komt nadrukkelijk naar voren in de rechtspraak van het HvJ EU inzake dataretentie. 
Uit HvJ EU 6 oktober 2020, C-511/18, C-512/18, C-520/18, ECLL:EU:C:2020:791 (La Quadra- 
ture du Net) volgt bijvoorbeeld dat onder omstandigheden, in het belang van de nationale 
veiligheid, een algemene dataretentieplicht is toegestaan, terwijl zo een algemene reten- 
tieplicht ter bestrijding van (ernstige) criminaliteit is uitgesloten. 

305 Consultatieversie d.d. 1 april 2022 te raadplegen op https://www.internetconsulta- 
tie.nl/tijdelijkewetcyber/b1. 

306 Zie de MvT bij het eerdergenoemde conceptwetsvoorstel, p. 5 en de brief van de minister 
van BZK aan de Tweede Kamer van 24 februari 2022, Kamerstukken II, 2021/22, 34588, nr. 
91, p. 2. 
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gedachte is daarbij dat ervaringen die worden opgedaan met de maatregelen in de 
Tijdelijke wet, in die brede wetswijziging kunnen worden meegenomen. 

Het hoofdstuk is als volgt opgebouwd. Allereerst wordt in paragraaf 2 
stilgestaan bij het object en de plaats van de normering van gegevens binnen Wiv 
2017, waarna in paragraaf 3 kort aandacht wordt besteed aan algemene uitgangs- 
punten en beginselen in de wet. Vervolgens komen achtereenvolgens in paragraaf 
4 en 5 de methoden van gegevensverzameling en de wettelijk genormeerde metho- 
den van gegevensverwerking aan bod. De nadruk ligt daarbij op de bevoegdheden 
en hun onderlinge verhouding en in mindere mate bij de concrete toepassingsvoor- 
waarden om de reden die hiervoor is genoemd. Paragraaf 6 is gewijd aan het stelsel 
van toezicht op de Wiv 2017. Het is relevant ook aan dit thema aandacht te beste- 
den, nu normering en toezicht nauw met elkaar zijn verbonden. Het in het leven 
roepen van (extra) waarborgen en nadere eisen is alleen zinvol als op de naleving 
daarvan ook toezicht wordt gehouden. Bovendien volgt duidelijk uit de eisen 
van het EHRM zoals besproken in hoofdstuk 3 dat staten dienen te voorzien in 
adequaat toezicht op de vergaring en verwerking van gegevens. 


4.2 OBJECT EN PLAATS VAN NORMERING 


De Wiv 2017 biedt de grondslag voor het optreden van de AIVD en MIVD. De 
thans geldende Wiv 20178% is de vervanger van de Wiv 20023" die op haar beurt 
de oude Wiv daterend uit 1987 verving.*"' Zoals uit de naamgeving reeds naar vo- 
ren komt, betreft het in beide gevallen (grotendeels) nieuwe regelingen, die zijn 
ingevoerd telkens met een beroep op de voortschrijdende techniek. Met de Wiv 
2017 is onder meer de mogelijkheid geintroduceerd tot interceptie van telecommu- 
nicatie via kabelgebonden netwerken? Aan de inwerkingtreding van de Wiv 2017 
op 1 mei 2018 ging een raadgevend referendum vooraf, waarbij vooral aandacht 


307 Concept MvT bij de Tijdelijke wet, p. 11. 

308 Zie voor een nadere analyse ten aanzien van de verhouding tussen normering en toezicht 
(gerelateerd aan de opsporing): Samadi 2020. 

309 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017). 

310 Kamerstukken II 1997/98, 25877, nr. 3 (MvT Wiv 2002). 

311 De oude Wiv dateert van 3 december 1987 (Stb. 1987/635) en is op 1 februari 1988 in wer- 
king getreden (Stb. 1988/11). 

312 Onder de Wiv 2002 kon alleen communicatie via de ether in bulk worden geïntercep- 
teerd. Echter, sinds de invoering van de Wiv in 2002 heeft een wezenlijke verschuiving 
plaatsgevonden van communicatie van de lucht naar kabelnetwerken die volgens de wet- 
gever ‘de ruggengraat zijn gaan vormen van het digitale domein’. De bevoegdheid tot 
bulkinterceptie is onder Wiv 2017 meer techniekonafhankelijk geformuleerd en wordt 
daarin aangeduid als onderzoeksopdrachtgerichte interceptie. Kamerstukken II 2016-2017, 
34 588, nr. 3. p. 8. 
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was voor bulkinterceptie in het licht van de risico’s voor de privacy die daarmee 
gepaard gaan.*!5 Niet alleen zijn met de introductie van de Wiv 2017 de onder- 
zoeksmogelijkheden uitgebreid, er zijn ook nieuwe waarborgen voor burgers ge- 
creëerd vanuit de idee dat de nieuwe bevoegdheden ook verscherpte controle ver- 
gen. Met dat doel is onder meer een toets geïntroduceerd voorafgaand aan de 
daadwerkelijke uitoefening van de meeste bijzondere bevoegdheden door een 
nieuwe onafhankelijke toetsingscommissie, te weten de Toetsingscommissie Inzet 
Bevoegdheden (hierna: TIB).34 
In de Wiv 2017 zijn de taak, de doelstellingen en de bevoegdheden van de 
diensten en voorts ook het toezicht op de diensten geregeld. De Wiv 2017 is inge- 
deeld in verschillende hoofdstukken, waarbij een apart hoofdstuk is gewijd aan de 
verwerking van gegevens. Wat onder de verwerking van gegevens of gegevens- 
verwerking moet worden verstaan, valt terug te lezen in artikel 1 onder f Wiv 2017, 
namelijk ‘elke handeling of elk geheel van handelingen met betrekking tot gege- 
vens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bij- 
werken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van 
doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, sa- 
menbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen 
of vernietigen van gegevens’. Ook in de Wiv 2017 heeft de wetgever voor de defi- 
nitie van ‘verwerken’ aansluiting gezocht bij de wijze waarop dit begrip in het ge- 
gevensbeschermingsrecht is gedefinieerd. Onder het begrip verwerking is dus 
ook het verzamelen van gegevens geschaard. Niettemin maken wij in dit hoofd- 
stuk — conform de in het eerste hoofdstuk gepresenteerde definities — verschil tus- 
sen het verzamelen en verwerken van informatie waarbij met verwerking wordt 
gedoeld op alle de verzameling opvolgende handelingen met de desbetreffende 
gegevens (aanknopend bij de terminologie van de AVG en Wiv gaat het dan in 
feite om de ‘verdere’ verwerking) 36 
Wanneer we de systematiek van de Wiv 2017 in ogenschouw nemen, dan 
zien we dat zowel de bevoegdheden tot het verzamelen, als de bevoegdheden tot 
de (verdere) verwerking tezamen in het derde hoofdstuk zijn opgenomen. Dat 
derde hoofdstuk begint met een paragraaf met algemene bepalingen waarin is 


313 Zie Oerlemans & Hagens 2019, p. 560 en de brief van de ministers van BZK en Defensie 
naar aanleiding van de uitslag van het raadgevend referendum (Kamerstukken II 2017/18, 
34588, 70). 

314 Zie voor een meer uitvoerige uiteenzetting over de totstandkoming van de Wiv 2017 en 
de daarin neergelegde wijzigingen: Voermans & Muller 2017. Aan de nieuwe wet ging 
een uitgebreide evaluatie van de Wiv 2002 vooraf: Rapport Commissie-Dessens 2013. 

315 In de Wpg is dat ook gebeurd, zie daarover hoofdstuk 2. 

316 Zie ook het Rapport Commissie Jones-Bos 2020, p. 28 waarin dit onderscheid ook zo wordt 
gehanteerd, omdat dit naar het oordeel van de commissie ook van belang is voor de om- 
gang met bulkdata en de scheidslijn tussen toezicht ex ante en ex post. 
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neergelegd dat de diensten bevoegd zijn tot het verwerken van gegevens, maar 
daarbij de wettelijke waarborgen uit de Wiv en de Wet veiligheidsonderzoeken in 
acht moeten nemen (art. 17 Wiv 2017).37 Vervolgens is de tweede paragraaf gewijd 
aan het verzamelen van gegevens. Daarin valt te lezen welke bevoegdheden de 
diensten hebben en welke rol toekomt aan de TIB. Voorts is daarin iets geregeld 
over het uitbrengen van verslag naar aanleiding van het uitoefenen van bijzondere 
bevoegdheden. De derde paragraaf van hoofdstuk drie is gewijd aan de bevoegd- 
heid tot het toepassen van een geautomatiseerde data-analyse. Hoewel het op het 
eerste gezicht lijkt alsof de bevoegdheden tot verzameling en verdere verwerking 
duidelijk in aparte subparagrafen zijn geregeld, blijken ook in de paragraaf met de 
titel ‘de verzameling van gegevens’ bevoegdheden te zijn opgenomen die op de 
verdere verwerking betrekking hebben. Een strikte scheiding is er derhalve niet. 
Wel wordt de verdere verwerking waarbij datasets op geautomatiseerde wijze 
worden doorzocht en gegevens met elkaar worden vergeleken zoals dat tot uit- 
drukking komt in artikel 50 en artikel 60 Wiv 2017, uitdrukkelijk als bevoegdheid 
van de diensten gepositioneerd, met daaraan gekoppelde normering. In de vierde 
paragraaf zijn bevoegdheden opgenomen die betrekking hebben op de uitwisse- 
ling van gegevens tussen inlichtingen- en veiligheidsdiensten onderling en met an- 
dere personen of instanties. Bij de uitwisseling van gegevens wordt in dit hoofd- 
stuk verder niet uitgebreid stilgestaan? 


43 RICHTINGGEVENDE BEGINSELEN EN UITGANGSPUNTEN 


De verwerking van gegevens en de daaraan gekoppelde inzet van bevoegdheden 
moet allereerst passen binnen de wettelijke taakomschrijving van de diensten. 
Bepaalde informatiebronnen, namelijk die zijn aangeboord met behulp van de in- 
zet van bijzondere bevoegdheden, kunnen alleen voor specifieke taakonderdelen 
van de diensten worden gebruikt. Daaraan worden ook nadere, op het gebruik toe- 
gesneden eisen gesteld. Is van een dergelijke, nadere clausulering geen sprake, dan 


317 Die waarborgen zullen in de volgende paragraaf worden besproken. 

318 Deze bevoegdheden zullen in de volgende paragraaf aan de orde komen. 

319 Voorts zijn er ook nog (bijzondere) bevoegdheden opgenomen in het vierde hoofdstuk. 
Deze bevoegdheden hebben niet zozeer te maken met het verwerken van (persoons)ge- 
gevens, maar betreffen het oprichten en inzetten van rechtspersonen ter voorbereiding 
op en ondersteuning van operationele activiteiten (art. 72 Wiv 2017) en het treffen van 
maatregelen ter bescherming van de door de dienst te behartigen belangen (art. 73 Wiv 
2017). 

320 En binnen de Geïntegreerde Aanwijzing op de Inlichtingen- en Veiligheidsdiensten 
waarin eens per vier jaar de onderzoeksgebieden worden bepaald en die door de Minis- 
ter-President, Minister van Algemene Zaken, de Minister van BZK en de Minister van 
Defensie gezamenlijk wordt vastgesteld. 
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kunnen de informatiebronnen voor alle taakonderdelen worden ingezet. Ten aan- 
zien van alle taken kunnen informanten en openbare bronnen worden geraad- 
pleegd, waarbij de memorie van toelichting ook de openbaar toegankelijke delen 
van het internet, zoals Facebook, Twitter en LinkedIn noemt. 

Naast de eis van taakgebondenheid wordt de verwerking voorts genor- 
meerd door een aantal andere richtinggevende beginselen en uitgangspunten. Veel 
van deze beginselen zijn ook te herkennen in de Wpg. Zo is bepaald dat de ver- 
werking van gegevens slechts plaatsvindt ‘voor een bepaald doel en slechts voor 
zover dat noodzakelijk is voor een goede uitvoering’ van de Wiv of de Wet veilig- 
heidsonderzoeken (art. 18 lid 1 Wiv 2017). Hierin zien we naast het noodzakelijk- 
heidsbeginsel ook het doelbindingsvereiste terugkomen. Deze twee beginselen gel- 
den niet alleen voor de verzameling, maar strekken zich uit tot alle vormen van 
gegevensverwerking.” Wel heeft de wetgever benadrukt dat ‘de eis dat informatie 
voor een bepaald doel wordt vergaard, niet wil zeggen dat deze informatie louter 
en alleen voor dat doel (verder) mag worden gebruikt” Indien verder gebruik 
noodzakelijk is voor een goede taakuitvoering van diensten, is dat wel degelijk 
toegestaan.” Daarbij wordt voor wat betreft de inzet van bijzondere bevoegdhe- 
den onderscheid gemaakt tussen de ruwe opbrengst van de inzet en de geëvalu- 
eerde gegevens.” De ruwe opbrengst van de inzet van bijzondere bevoegdheden 
mag alleen worden aangewend in het kader van het onderzoek waarbinnen de ge- 
gevens zijn verworven of ten behoeve van een ander lopend onderzoek dat onder 
de inlichtingen- of veiligheidstaken van de diensten valt. Zijn de gegevens eenmaal 
geëvalueerd, dan mogen ze volgens de wetgever ‘in het kader van alle taken van 
de diensten (dus ook andere dan de inlichtingen- en veiligheidstaken) worden aan- 
gewend’. De Wiv 2017 biedt derhalve ruimte voor zogenaamd doelafwijkend ge- 
bruik van reeds verzamelde gegevens, maar stelt daaraan wel enige beperkingen 
voor zover deze gegevens afkomstig zijn van de inzet van bijzondere bevoegdhe- 
den. 

De verwerking van gegevens moet voorts plaatsvinden ‘in overeenstem- 
ming met de wet en op behoorlijke en zorgvuldige wijze’ (art. 18 lid 2 Wiv 2017). 
In Artikel 26 Wiv 2017 worden voor het verzamelen van gegevens nog een aantal 
vereisten daaraan toegevoegd. Zo moet de dienst kiezen voor de bevoegdheid die 
het minste nadeel voor de betrokkene oplevert (het subsidiariteitsvereiste; art. 26 
lid 1 Wiv 2017) en de uitoefening van de bevoegdheid dient evenredig te zijn met 


321 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 39. 

322 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 241. 

323 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 31. 

324 Zie hierover ook: reactie op de wetsevaluatie in de brief van de CTIVD van 11 augustus 
2020 met kenmerk 2020/0096, p. 18. 

325 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 31. 
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het beoogde doel en mag geen onevenredig nadeel voor betrokkenen veroorzaken 
(het proportionaliteitsbeginsel, art. 26 lid 2 en 3 Wiv 2017). Voorts dient de uitoe- 
fening van een bevoegdheid ‘zo gericht mogelijk’ te zijn en onmiddellijk te worden 
gestaakt indien het doel is bereikt, dan wel met de uitoefening van een minder 
ingrijpende bevoegdheid kan worden volstaan (art. 26 lid 4 en 5 Wiv 2017). 

Het vereiste dat de uitoefening van een bevoegdheid ‘zo gericht mogelijk’ 
dient te zijn, zoals neergelegd in artikel 26 lid 5 Wiv 2017 is ingevoerd naar aanlei- 
ding van de motie-Recourt, vanwege de zorgen die bestonden over de privacy van 
burgers als gevolg van de introductie van een bevoegdheid tot kabelinterceptie.525 
Daarbij wordt volgens de memorie van toelichting bij de Wijzigingswet waarmee 
dit criterium is ingevoerd, gekeken ‘in hoeverre bij de verwerving sprake is van 
het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke 
gegevens, gelet op de technische en operationele omstandigheden van de casus’. 
Van de diensten wordt in dit verband verlangd dat zij hieraan — zo goed als rede- 
lijkerwijs mogelijk is — in hun verzoeken invulling geven ‘door de te vergaren ge- 
gevens af te bakenen: geografisch, naar tijdstip, naar soort data/type verkeer, naar 
object/target, naar gedraging of anderszins. Daarbij moet onder meer rekening 
worden gehouden met de inlichtingencontext waarin juist naar de tot dan toe on- 
gekende dreiging moet worden gezocht, met de fase waarin het onderzoek zich 
bevindt, met de noodzaak tot falsificatie, met het tijdselement en de reële techni- 
sche mogelijkheden’ 27 Het gerichtsheids-criterium geldt zowel voor algemene als 
voor de bijzondere bevoegdheden tot gegevensverzameling (en dus ook voor het 
stelselmatig verzamelen van gegevens uit open bronnen en voor het raadplegen 
van informanten). Het is echter volgens de Memorie van Toelichting niet de bedoe- 
ling om het op alle vormen van gegevensverwerking van toepassing te laten zijn. 

Voor wat betreft de verwerking van persoonsgegevens stelt de wet nog 
aanvullende eisen. Zo mag de AIVD in beginsel alleen gegevens verwerken ten 
aanzien van personen die aanleiding geven tot het ernstige vermoeden ‘dat zij een 
gevaar vormen voor de democratische rechtsorde, dan wel voor de veiligheid of 
voor andere gewichtige belangen van de staat’ (art. 19 lid 1 sub a Wiv 2017) of ‘dat 
zij een gevaar vormen voor de veiligheid of de paraatheid van de krijgsmacht’ (art. 
19 lid 2 sub a Wiv 2017). Met andere woorden, de diensten mogen niet zomaar 
persoonsgegevens verwerken. Echter, artikel 19 lid 5 Wiv 2017 creëert wel een 


326 Kamerstukken II 2016/17, 34588, 66. Zie hierover ook Oerlemans & Hagens 2019, p. 66. 

327 Kamerstukken II 2018/19, 34242, nr. 3 (MvT Wijzingswet Wiv 2017), p. 5 e.v. Zie ook art. 5 
van het Besluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de 
Minister van Defensie van 25 april 2018, nr. 2018-0000251025, houdende vaststelling van 
beleidsregels met betrekking tot de uitvoering van de Wiv 2017. 

328 Kamerstukken II 2018/19, 34242, nr. 3 (MvT Wijzingswet Wiv 2017), p. 4. 

329 Er worden in art. 19 Wiv 2017 ook andere categorieén personen genoemd die onder meer 
samenhangen met andere taakstellingen van de AIVD, zoals het verrichten van veilig- 
heidsonderzoeken, het maken van dreigingsanalyses en de uitwisseling met gegevens 
van andere inlichtingen- of veiligheidsdiensten. 
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uitzondering voor gegevens van andere personen die ‘een logisch en onlosmakelijk 
onderdeel vormen van de door de diensten te verwerven of verworven gegevens- 
bestanden’. 

Naast voornoemde beginselen valt uit de algemene bepalingen ook een 
aantal uitgangspunten te destilleren. Zo geldt als uitgangspunt dat ‘gegevens die, 
gelet op het doel waarvoor zij worden verwerkt, geen betekenis hebben of hun 
betekenis hebben verloren, worden verwijderd’ (art. 20 Wiv 2017). Voor gegevens 
die zijn verkregen door de uitoefening van bijzondere bevoegdheden (waarover 
hierna meer), geldt voorts dat zij — binnen de daarvoor gestelde termijnen — onder- 
zocht worden op hun relevantie voor het onderzoek waarvoor zij zijn verwor- 
ven.” De beoordeling van de relevantie en daarmee het schonen van irrelevante 
data moet worden gezien als een vorm van datareductie (een streven dat ook aan 
de orde kwam in hoofdstuk 3).1 Gegevens die niet relevant zijn voor het onder- 
zoek of ander lopend onderzoek, moeten worden vernietigd. Deze eis hangt samen 
met het eerdergenoemde doelbindingsvereiste. Alleen geëvalueerde gegevens 
kunnen verder worden verwerkt voor andere doeleinden. Niet relevante ruwe op- 
brengst moet derhalve worden vernietigd. Dat wil zeggen dat de gegevens onom- 
keerbaar verwijderd worden/ontoegankelijk gemaakt worden. 

De hoofden van de diensten dragen voorts verantwoordelijkheid voor de 
geheimhouding van de verzamelde gegevens, de bronnen waaruit de gegevens af- 
komstig zijn en de veiligheid van personen die aan de gegevensverzameling heb- 
ben bijgedragen (art. 23 Wiv 2017). Zij moeten tevens maatregelen nemen ter be- 
vordering van de kwaliteit van de gegevensverwerking, waaronder ook de gehan- 
teerde algoritmen en modellen en maatregelen ter beveiliging tegen verlies of aan- 
tasting van gegevens en onbevoegde gegevensverwerking (art. 24 Wiv 2017). Dit 
is in artikel 24 geformuleerd als een zorgplicht. Om privacy-risico’s te minimalise- 
ren worden naast de eerdergenoemde waarborgen en de geldende autorisatiepro- 
cedures waaraan hierna nog zal worden gerefereerd ook andere maatregelen 


330 Dit geldt dus niet voor gegevens die zijn verkregen uit openbare bronnen. Zie meer hier- 
over Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 40 e.v. 

331 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 36 e.v. Dat is in praktijk zeer 
problematisch met name waar het bulkdatasets betreft. 

332 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 40. De Wiv 2017 maakt onder- 
scheid tussen verwijdering en vernietiging. Door verwijdering zijn gegevens niet langer 
toegankelijk zijn voor het reguliere bedrijfsproces (dat wil zeggen ten behoeve van de 
taakuitvoering van de diensten). Zij blijven echter wel beschikbaar voor archiefdoelein- 
den en klachtbehandeling, totdat het moment is aangebroken om deze te vernietigen. 
Zolang de gegevens echter niet zijn vernietigd kunnen zij ‘onder omstandigheden toch 
weer opnieuw gebruikt worden, indien het doel waarvoor ze aanvankelijk waren ver- 
worven weer actueel is geworden of voor een eventueel ander doel, mits uiteraard wordt 
voldaan aan de eisen die in algemene zin aan gegevensverwerking worden gesteld’ 
(MvT, p. 35). 
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getroffen. Een belangrijk aspect in dit verband is de maatregel van functieschei- 
ding, waarbij systeemgebruikers alleen toegang hebben tot die informatie die voor 
hun taakuitvoering noodzakelijk is.333 Dit komt niet alleen tot uitdrukking in arti- 
kel 24 lid 2 sub c Wiv 2017 waarbij het gaat om ‘de aanwijzing van personen die bij 
uitsluiting van anderen bevoegd zijn tot de bij de aanwijzing vermelde werkzaam- 
heden in het kader van de verwerking van gegevens’, maar ook op andere plekken 
in de wet waar het bijzondere bevoegdheden tot interceptie betreft (art. 47 lid 5, 48 
lid 4 en 49 lid 5 Wiv 2017). 


44 METHODEN VAN GEGEVENSVERZAMELING 


In artikel 25 Wiv 2017 staat opgesomd uit welke bronnen de diensten in ieder geval 
kunnen putten voor wat betreft het verzamelen van gegevens.**4 De wet maakt ver- 
volgens onderscheid tussen de ‘gewone’ bevoegdheden van de diensten, te weten 
het stelselmatig verzamelen van gegevens omtrent personen uit openbare bronnen 
(art. 38 Wiv 2017) en het raadplegen van zogenaamde informanten (art. 39 Wiv 
2017), en de bijzondere bevoegdheden van de diensten. Voor het verzamelen van 
gegevens uit voor een ieder toegankelijke informatiebronnen is geen toestemming 
vereist (tenzij dit een stelselmatig karakter draagt). Voor de inzet van andere be- 
voegdheden moet de betrokken minister toestemming geven. Voor de zoge- 
naamde bijzondere bevoegdheden gelden voorts nog extra eisen. Zo mogen deze 
ingevolge artikel 28 Wiv 2017 slechts worden uitgeoefend in relatie tot specifieke 
taken van de diensten. Voor de AIVD betreft dat onderzoek naar personen en or- 
ganisaties die een bedreiging vormen voor het voortbestaan van de democratische 
rechtsorde, de veiligheid of andere gewichtige belangen van de staat (art. 8 lid 2 
onder a Wiv 2017) en het verrichten van onderzoek betreffende andere landen (art. 
8 lid 2 onder d Wiv 2017). Voor de andere taken mag de AIVD geen bijzondere 
bevoegdheden inzetten. Onder de bijzondere bevoegdheden vallen onder meer: 
het observeren en volgen van natuurlijke personen of gegevens (art. 40 Wiv 2017); 
het inzetten van agenten al dan niet onder dekmantel (art. 41 Wiv 2017); onderzoek 
van besloten plaatsen, gesloten voorwerpen en aan voorwerpen (art. 42 Wiv 2017); 
DNA-onderzoek ter vaststelling of verificatie van de identiteit van een persoon 
(art. 43 Wiv 2017); het openen van brieven en andere geadresseerde zendingen (art. 
44 Wiv 2017); het verkennen van en binnendringen in geautomatiseerde werken 


333 Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 37. Zie over de problemen met 
datareductie en de wijze waarop daaraan adequaat invulling kan worden gegeven de 
rapporten van de CTIVD 2019/66 en 2020/69. 

334 Het betreft geen limitatieve opsomming zoals tot uitdrukking wordt gebracht in de wet 
met het woord ‘in ieder geval’. Zie hierover: Kamerstukken II 2016-2017, 34588, nr. 3, p. 38 

335 Zie nog wel de uitzondering neergelegd in art. 28 lid 2 Wiv 2017. 
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(de zogenaamde hackbevoegdheid, art. 45 Wiv 2017) en het verkrijgen van toegang 
tot plaatsen om de uitoefening van andere bevoegdheden mogelijk te maken (art. 
57 Wiv 2017). Deze bevoegdheden vertonen grote gelijkenis met de bevoegdheden 
die ook de politie tot haar beschikking heeft ten behoeve van het opsporen van 
strafbare feiten, met dien verstande dat de toepassingsvoorwaarden verschillen en 
dat het doel van de inzet verschilt. 

In paragraaf 3.2.5.6 van de Wiv 2017 zijn de bevoegdheden neergelegd 
met betrekking tot het onderzoek aan communicatie.%% Daarbij ziet artikel 47 Wiv 
2017 op het met een technisch hulpmiddel aftappen, ontvangen, opnemen en af- 
luisteren van gesprekken, telecommunicatie of gegevensoverdracht. In de artike- 
len daarna is de zogeheten onderzoeksopdrachtgerichte (hierna OOG) interceptie 
oftewel de bulkinterceptie geregeld. Hierbij gaat het dus niet om het afluisteren 
van specifieke personen of organisaties, maar om het — op grote schaal — onder- 
scheppen en analyseren van telecommunicatie zonder dat er aanwijzingen tegen 
een specifiek persoon zijn” In de aanloop naar de inwerkingtreding van de 
nieuwe Wiv werd de wet omwille van deze bevoegdheid ook wel de ‘sleepwet’ 
genoemd.* Ten tijde van de Wiv 2002 werd dit nog aangeduid als ‘ongerichte in- 
terceptie’ waarvoor artikel 27 Wiv 2002 toen de wettelijke grondslag bood. Thans 
spreekt men van OOG-interceptie waarmee de wetgever tot uitdrukking heeft wil- 
len brengen dat het intercepteren van bulkgegevens niet geheel ongericht plaats- 
vindt, maar aan de hand van onderzoeksopdrachten.®® Het gaat om het in grote 
hoeveelheden via de ether of kabel onderscheppen van gegevens (zowel met be- 
trekking tot de inhoud van de communicatie als met betrekking tot metagege- 
vens). De bulkgegevens kunnen zowel worden gebruikt bij onderzoek naar drei- 
gingen en targets die reeds in beeld zijn, als bij onderzoek gericht op nieuwe of 
verborgen targets.*4! Het onderscheppen zelf is geregeld in artikel 48 Wiv 2017. Het 
zogenaamde optimaliseren oftewel voorbewerken van de bulkgegevens is in arti- 
kel 49 Wiv 2017 geregeld. In dat proces wordt onder meer gezocht naar relevante 
selectiecriteria.* In de praktijk wordt gebruik gemaakt van de activiteit van het 
snapshotten, waarbij het gaat om het ‘doen van korte integrale opnames van de 
beschikbare gegevensstromen om de veronderstelde inlichtingenwaarde te 


336 Zie over bulkinterceptie: Oerlemans en Hagens 2019, p. 560-568 en Oerlemans 2020, p. 
260-267. 

337 Voermans & Muller 2017, p. 103. 

338 Zie over deze kwalificatie Oerlemans & Hagens 2019, p. 560 e.v. 

339 Rapport Commissie Jones-Bos 2020, p. 79. 

340 In dit verband wordt ook wel gesproken van signals intelligence (afgekort: sigint) omdat 
de analyse geschiedt op basis van informatie uit communicatie die via signalen wordt 
overgebracht (Oerlemans & Hagens 2017, p. 563). 

341 Rapport Commissie Jones-Bos 2020, p. 42. 

342 Zie hierover in meer detail: Kamerstukken II 2016/17, 34588, nr. 3, p. 104. 
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kunnen vaststellen’. Deze gegevens mogen nog niet worden gebruikt voor in- 
houdelijk onderzoek, maar zijn bedoeld om de interceptie te optimaliseren en 
vooraf de gerichtheid van de inzet te kunnen motiveren.®* De nadere analyse van 
de gegevens oftewel de verdere verwerking is in artikel 50 Wiv 2017 neergelegd. 
Artikel 50 lid 1 onder a Wiv 2017 voorziet in een selectiebevoegdheid die het mo- 
gelijk maakt om van de inhoud van de gegevens kennis te nemen. De inhoud van 
het geïntercepteerde materiaal wordt dan ook pas na de selectie zichtbaar. Om 
deze selectie mogelijk te maken moeten criteria worden geformuleerd. Deze selec- 
tiecriteria zien bijvoorbeeld op de identiteit van personen, telefoonnummers en/of 
aan een nader omschreven onderwerp gerelateerde trefwoorden. Het is de mi- 
nister of het hoofd van de dienst die toestemming moet geven voor de vaststelling 
van selectiecriteria bij een persoon, activiteit of een onderwerp, maar het hoofd van 
de dienst kan dit weer ondermandateren (art. 50 lid 3 Wiv 2017). 

Echter, er zijn ook andere bevoegdheden die het mogelijk maken om bulkge- 
gevens te verkrijgen. Zo kunnen bulkgegevens worden verkregen via het gebruik 
van de hiervoor genoemde hackbevoegdheid (art. 45 Wiv 2017) of via informanten 
(art. 39 Wiv 2017). Bulkgegevens kunnen tevens worden verkregen van medeover- 
heidsinstanties zoals de politie, Koninklijke Marechaussee en Belastingdienst. 
Daar zit volgens de Evaluatiecommissie Wiv 2017 een probleem, nu voor het ver- 
werven en verwerken van deze gegevens een ander, lichter regime geldt. Voor de 
toepassing van bulkinterceptie op grond van artikel 48 Wiv 2017 gelden zeer strikte 
eisen, waarbij de betrokken minister toestemming moet geven en de TIB de recht- 
matigheid toetst zowel voor wat betreft de verwerving als de (verdere) 


343 Zie de Beleidsreactie op het rapport van de CTIVD 2022/75 over inzet van kabelintercep- 
tie door de AIVD en de MIVD: de snapshotfase. 

344 Rapport CTIVD 2022/75, p. 6. De CIIVD komt met oog op de voorzienbaarheid en rechts- 
zekerheid met de aanbeveling om het snapshotten te voorzien van expliciet wettelijke 
basis, nu deze thans ontbreekt. 

345 De terminologie in de Wiv wijkt af van het dagelijks taalgebruik. Onder selectie wordt 
verstaan ‘de bijzondere bevoegdheid waarmee de AIVD en de MIVD kennis kunnen ne- 
men van de inhoud van gegevens die met behulp van onderzoeksopdrachtgerichte inter- 
ceptie zijn verworven’, aldus de CTIVD in het rapport dat aan de selectiebevoegdheid is 
gewijd (2019/64). 

346 Rapport CTIVD 2019/64, p. 4. 

347 Bij de bijzondere regeling voor geautomatiseerde gegevensanalyse met metadata verkre- 
gen uit onderzoeksopdrachtgerichte interceptie gericht op het identificeren van personen 
en organisaties neergelegd in art. 50 lid 1 onder b jo. lid 4 staan wij hierna in par. 4.5 
nader stil. 

348 Kamerstukken II 2016/17, 34588, nr. 3, p. 108. 

349 Rapport CTIVD 2019/64, p. 4. 

350 De commissie constateert dat een eenduidige en voorzienbare grondslag hiervoor ont- 
breekt. De uitwisseling geschiedt nu zowel op grond van art. 39 als art. 94 Wiv 2017. 
Rapport Commissie Jones-Bos 2020, p. 48-49. 
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verwerking. De Evaluatiecommissie vindt het opvallend ‘dat in de systematiek van 
de Wiv 2017 de waarborgen dus niet volgen uit de aard en omvang van de gege- 
vens, maar afhangen van de bevoegdheid waarmee die gegevens worden verwor- 
ven. Dit leidt tot inconsistentie omdat vergelijkbare gegevens via verschillende be- 
voegdheden kunnen worden verworven. De Evaluatiecommissie ziet hierin een 
ernstig gebrek aan voorzienbaarheid en uniformiteit’! Zij stelt voor om een uni- 
form kader te creëren voor de verwerking van bulkdata, waarbij kan worden aan- 
gehaakt bij het kader dat nu reeds geldt voor bulkdata verkregen uit onderzoeks- 
opdrachtgerichte interceptie, te weten: 


1. ‘Waarborg op handeling: wat mag met de bulkdata worden gedaan? 
2. Waarborg op toegang: wie mag er bij de bulkdata? 
3. Waarborg op tijd: hoe lang mag de bulkdata worden bewaard?’ 


Daarbij is het volgens de commissie van belang om de waarborgen niet te koppelen 
aan de wijze/het middel van vergaren, maar aan de aard van gegevens.”Al voor 
dat de commissie haar rapport uitbracht, is een tijdelijke bulkregeling opgesteld 
waarin regels zijn opgenomen over de verwerking van alle bulkdata ongeacht de 
wijze van verkrijgen, waarbij het toegangsregime wordt bepaald door de zwaarte 
van inbreuk op de privacy. Dit vormt ook een belangrijke les met het oog op 
strafvorderlijk onderzoek. Er moet voor de normering niet alleen worden gekeken 
naar de wijze van verzameling, maar vooral naar de zwaarte van de privacy-in- 
breuk die met de verwerking wordt gemaakt. 

Een ander probleem bij het verwerven van gegevens is gelegen in het eer- 
dergenoemde gerichtheidsvereiste. Niet duidelijk is hoe dit vereiste dient te wor- 
den ingevuld in relatie tot bulkinterceptie. Weliswaar wordt niet langer gesproken 
van ongerichte interceptie, de doelbinding®® is bij dit type bevoegdheid volgens de 
Evaluatiecommissie ‘minder eenduidig, omdat soms bij de verwerking pas speci- 
fieke gebruiksdoelen kunnen worden vastgesteld’. Bulkinterceptie kenmerkt 
zich erin dat ook gegevens worden binnengehaald met betrekking tot personen en 


351 Rapport Commissie Jones-Bos 2020, p. 42. Oerlemans gaat in zijn oratie dieper in op de in- 
formantenbevoegdheid en stelt dat deze onvoldoende voorzienbaar is (Oerlemans 2020, 
p. 19-20). 

352 Rapport Commissie Jones-Bos 2020, p. 53. 

353 Rapport Commissie Jones-Bos 2020, p. 53. Ook de CTIVD deelt dit oordeel. Zie hieromtrent 
in meer detail de reactie op de wetsevaluatie in de brief van de CTIVD van 11 augustus 
2020 met kenmerk 2020/0096. 

354 Regeling van 5 november 2020, Stcrt. 2020, 56482. 

355 Eigenlijk wordt hier bedoeld de doelspecificatie, maar deze term zijn we in de context 
van de Wiv 2017 niet tegengekomen. 

356 Rapport Commissie Jones-Bos 2020, p. 49. 
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organisaties die geen target zijn en dat ook niet zullen worden. Het is volgens de 
evaluatiecommissie juist ‘gericht op het verkrijgen van een informatiepositie bij 
een dreiging waarvan de targets nog niet of maar deels bekend zijn.”®? Wanneer 
van tevoren een te scherpe afbakening wordt vereist, hindert dat het werk van de 
diensten, aldus de Evaluatiecommissie. Ook de Commissie van Toezicht op de In- 
lichtingen- en Veiligheidsdiensten (CITVD) constateert in een toezichtrapport uit 
2022 dat de uitleg die aanvankelijk aan kabelinterceptie is gegeven ‘wringt met de 
aard van de bevoegdheid, het middel en met de uitvoering in de (technische) prak- 
tijk’.3® In de concept Memorie van Toelichting bij de eerdergenoemde Tijdelijke 
wet valt te lezen dat de bevoegdheid tot onderzoeksopdrachtgerichte interceptie 
tot dusver slechts beperkt is ingezet ten behoeve van het inlichtingenproces. Als 
reden hiervoor wordt genoemd ‘de onduidelijkheid met betrekking tot de wijze 
waarop het gerichtheidsvereiste bij de inzet van deze bevoegdheid moet worden 
geïnterpreteerd en de verschillende zienswijzen ter zake van de ministers en de 
Toetsingscommissie over de inzet van bevoegdheden’? Er wordt thans voorge- 
steld om bij onderzoeken in het cyberdomein het gerichtheidsvereiste bij de be- 
voegdheid tot verkennen van de data buiten beschouwing te laten. ‘De bevoegd- 
heid tot verkennen is immers per definitie ongericht’, aldus de MvT.3 Het voor- 
gaande maakt duidelijk dat bij het introduceren van wettelijke waarborgen goed 
moet worden gekeken naar de aard van de bevoegdheid en de technische realiteit. 


4.5 WETTELIJK GENORMEERDE METHODEN VAN GEGEVENSVERWERKING 


Op grond van artikel 17 Wiv 2017 zijn de diensten bevoegd tot het verwerken van 
gegevens voor zover dit valt binnen hun wettelijke taak en met in achtneming van 
de wettelijke eisen. Gegevensverwerking werd en wordt gezien als een van de 
kernactiviteiten van de diensten.3°! Daartoe staan de diensten verschillende infor- 
matiebronnen ter beschikking. De Wiv 2017 stelt echter ook eisen aan de nadere 
analyse van die gegevens. Zo werd uit de voorgaande paragraaf duidelijk dat voor 
het verwerken van data uit bulkinterceptie verkregen via artikel 48 Wiv 2017 een 
bijzonder regime geldt en na het verwerven van de informatie ook specifieke eisen 
worden gesteld aan de (verdere) verwerking in artikel 49 en artikel 50 Wiv 2017. In 


357 Rapport Commissie Jones-Bos 2020, p. 49. Zie over het proces van selectie ook Jacobs 2016, 
p. 256-261. 

358 Rapport CTIVD 2022/75, p. 6 en 55. 

359 Concept MvT bij de Tijdelijke wet, p. 4. 

360 Concept MvT bij de Tijdelijke wet, p. 23. Zie over het vereiste van gerichtheid in relatie 
tot bulkinterceptie meer uitvoerig het rapport van de CTIVD 2022/75. 

361 Kamerstukken II 2016/17, 34 588, nr. 3, p. 131 (MvT Wiv 2017). Zie ook concept MvT bij de 
Tijdelijke wet, p. 25. 


Verzameling en verwerking van gegevens onder de Wiv 2017 103 
de Wiv 2017 is daarnaast nog in artikel 60 een specifieke bepaling opgenomen die 
betrekking heeft op het toepassen van geautomatiseerde data-analyse (ook wel 
aangeduid als GDA) in de verschillende gegevensbestanden die de diensten ter 
beschikking staan. Over deze GDA-bevoegdheid is de nodige discussie ontstaan, 
waaraan in deze paragraaf nader aandacht zal worden besteed. Het geautomati- 
seerd vergelijken en verrijken van informatie uit een of meerdere informatiebron- 
nen is immers ook in strafvorderlijke context een belangrijk punt. 

Artikel 60 Wiv 2017 vormde in de kern een codificatie van een bestaande 
werkmethode van de diensten? De wetgever achtte het wenselijk om ‘....gelet op 
de toegenomen betekenis van verwerkingen met een big data-karakter [..] geauto- 
matiseerde data-analyse als werkmethode van de diensten van een expliciete wet- 
telijke grondslag te voorzien’ 265 Zonder toepassing van data-analysetechnieken is 
het echter vrijwel onmogelijk om grote gegevensbestanden te ontsluiten.5 In het 
eerste lid van artikel 60 Wiv 2017 wordt opgesomd welke bestanden dat zijn, na- 
melijk gegevens uit eigen geautomatiseerde gegevensbestanden; gegevens uit voor 
een ieder toegankelijke informatiebronnen, gegevens uit geautomatiseerde gege- 
vensbestanden waartoe de diensten rechtstreeks toegang hebben en gegevens uit 
door derden verstrekte geautomatiseerde gegevensbestanden. In het tweede lid 
wordt uiteengezet welke handelingen in dit verband ‘in ieder geval’ kunnen wor- 
den uitgevoerd, te weten a) het geautomatiseerd vergelijken van gegevens met el- 
kaar; b) het doorzoeken van de bestanden aan de hand van profielen en c) het ver- 
gelijken met het oog op het ontdekken van bepaalde verbanden. 

Van belang is op te merken dat aan deze vorm van gegevensverwerking 
geen specifieke toestemmingsvereisten zijn verbonden, met uitzondering wanneer 
zij worden toegepast op OOG-data (waarvoor in art. 50 lid 1 onder b jo lid 4 Wiv 
20017 een bijzondere regeling is getroffen). Wel zijn de algemene bepalingen van 
kracht. Zo volgt uit artikel 18 Wiv 2017 immers dat verwerking van gegevens al- 
leen plaatsvindt voor zover dat noodzakelijk is voor een goede taakuitvoering. Ook 
moet de analyse op behoorlijke en zorgvuldige wijze plaatsvinden waarbij de 
diensthoofden maatregelen moeten treffen ter bevordering van de kwaliteit en de 
gehanteerde algoritmen en modellen (art. 24 lid 2 sub a Wiv 2017). 35 Tevens is in 


362 Ook onder de Wiv 2002 gebruikte de diensten immers al geavanceerde vormen van ge- 
gevensverwerking. Kamerstukken 11 2016/17, 34588, nr. 3 (MvT bij Wiv 2017), p. 129 en 131 
en Rapport Commissie Jones-Bos 2020, p. 69. 

363 Kamerstukken II 2016/17, 34588, nr. 3 (MvT bij Wiv 2017), p. 131. 

364 Concept MvT bij de Tijdelijke wet, p. 25. 

365 Uit de in art. 24 neergelegde zorgplicht volgt ook dat de diensten bij het ontwerpen, aan- 
kopen en in gebruik nemen van technische systemen rekening moeten houden met de 
beginselen van gegevensbescherming. In dit verband worden in de Nota naar aanleiding 


van het verslag genoemd gegevensbescherming by design en by default. 
— 
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het derde lid van artikel 60 Wiv 2017 bepaald dat het niet is toegestaan om maat- 
regelen te treffen of te bevorderen jegens een persoon uitsluitend op basis van de 
resultaten van deze geautomatiseerde gegevensverwerking. Met andere woorden, 
de uitkomsten moeten alvorens de dienst actie onderneemt jegens een concreet in- 
dividu, altijd eerst door een mens worden geverifieerd.3% 

In art. 50 lid 1 onder b Wiv 2017 is — zoals hiervoor aangegeven — een bij- 
zondere regeling getroffen voor de mogelijkheid tot het verrichten van GDA aan 
de hand van metadata verkregen uit onderzoeksopdrachtgerichte interceptie, 
waarbij ook verwezen wordt naar artikel 60 Wiv 2017. In artikel 50 lid 4 komt tot 
uitdrukking dat als GDA wordt toegepast op metadata verkregen uit de bulkinter- 
ceptie en deze gericht is op het identificeren van personen en organisaties daarvoor 
aanvullende waarborgen gelden, te weten toestemming van de betrokken minister 
met een rechtmatigheidstoetsing door de TIB. In het verzoek tot toestemming moet 
voorts worden aangegeven welke vorm van GDA wordt toepast en voor zover mo- 
gelijk welke gegevensbestanden in de analyse worden betrokken. 

Er doen zich in dit verband echter meerdere problemen voor. Allereerst 
is een probleem dat alleen voor geautomatiseerde data-analyse op OOG-data ge- 
richt op het identificeren van personen en organisaties nadere waarborgen gelden 
en niet voor (bulk)gegevens die via andere bevoegdheden zijn vergaard. Het ver- 
schil in waarborgen kwam ook in de vorige paragraaf aan de orde. Voor wat betreft 
de bevoegdheid tot het verrichten van GDA biedt de regeling in feite slechts ge- 
deeltelijke rechtsbescherming voor burgers, nu de verscherpte eisen van artikel 50 
Wiv 2017 op een groot aantal informatiebronnen niet van toepassing is, terwijl het 
voor de privacy-inbreuk die met de GDA-bevoegdheid wordt gemaakt niet uit- 
maakt langs welke weg de gegevens zijn vergaard. De CTIVD stelt dat de regeling 
in dit opzicht niet in balans is.367 

Voorts is in de praktijk discussie ontstaan wat onder GDA moet worden 
begrepen en voor welke handelingen met OOG-data een dergelijke toestemming 
nu precies is vereist. Uit het Evaluatierapport Wiv 2017 blijkt dat de diensten en de 
toezichthouders in dezen lijnrecht tegenover elkaar staan. De Evaluatiecommissie 
schrijft dat waar de toezichthouders van mening zijn dat zowel eenvoudige als 
complexere vormen van gegevensverwerking als GDA moeten worden 


‘Gegevensbescherming by design houdt in dat de diensten bij de ontwikkeling van sys- 
temen het belang van privacy en gegevensbescherming inbouwen. Gegevensbescher- 
ming by default ziet erop dat systemen zo ontworpen en ingericht worden dat zo min 
mogelijk persoonsgegevens worden verwerkt’. Kamerstukken II 2016/17, 34588, nr. 18, p. 
28. 

366 Zie hierover ook het rapport van CTIVD 2019/62 en het Rapport Commissie Jones-Bos 2020, 
p. 70. 

367 Zie de reactie op de wetsevaluatie in de brief van de CTIVD van 11 augustus 2020 met 
kenmerk 2020/0096, p. 5. 
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aangemerkt, de diensten zich op het standpunt stellen dat het belangrijk is om te 
kijken naar de mate van inbreuk op de persoonlijke levenssfeer, waarbij alleen de 
zwaardere inbreuken op de persoonlijke levenssfeer als GDA worden aange- 
merkt.368 Een eenvoudige naslag in de gegevensbestanden geldt dan niet als GDA 
en daarvoor hoeft in de optiek van de diensten dan ook niet (afzonderlijk) toestem- 
ming te worden verkregen.” Deze discussie speelt thans vooral in relatie tot OOG- 
data, omdat in die context verscherpte waarborgen gelden in de vorm van toestem- 
ming van de betrokken minister en een rechtmatigheidstoetsing van de TIB. De 
vraag is echter ook breder op te vatten, namelijk voor welke vormen van geauto- 
matiseerde data-analyse er nadere eisen zouden moeten gelden en welke dat dan 
zouden moeten zijn. 

Hier wreekt zich dat de Europese jurisprudentie op dit punt niet helder 
is. Zowel het EHRM als het HvJ EU lijken vrij snel aan te nemen dat data-analyses 
inbreuk maken op het recht op privacy; zo wordt algemeen aangenomen dat een 
data-analyse van aan communicatie gerelateerde gegevens een ernstige inbreuk 
oplevert. Onduidelijk is echter wat de beide hoven precies onder data-analyse ver- 
staan, alsmede aan welke eisen een dergelijke analyse moet voldoen; is regulering 
op basis van de algemene beginselen inzake gegevensverwerking voldoende of 
moet hiervoor een ‘bijzondere’ bevoegdheid worden gecreëerd, waarbij ook toe- 
stemming wordt verkregen van bijvoorbeeld de TIB, de minister of een andere on- 
afhankelijke autoriteit? Bovendien is de vraag wat precies uit jurisprudentie kan 
worden afgeleid. Die jurisprudentie van het HvJ EU ziet steeds op het analyseren 
van verkeers- en locatiegegevens, maar de vraag is in hoeverre zij ook geldt voor 
een eenvoudige naslag. 

De Evaluatiecommissie Wiv 2017 signaleert in ieder geval ‘dat de discus- 
sie over de interpretatie van GDA vermengd is geraakt met de discussie voor de 
benodigde waarborgen voor verwerking van OOG-data’.5”? De waarborgen om- 
trent de toegang en waarborgen omtrent de handelingen (welke vormen van gege- 
vensverwerking mogen worden verricht) zijn door elkaar gaan lopen en de com- 
missie beveelt dan ook aan om deze waarborgen te scheiden, waarbij ze elkaar ove- 
rigens wel kunnen aanvullen. De Evaluatiecommissie heeft geprobeerd — redene- 
rend vanuit het recht op privacy — onderscheid te maken in verschillende vormen 
van gegevensverwerking, vanuit de gedachte dat bepaalde vormen van gegevens- 
verwerking op zichzelf gevoelig zijn en extra waarborgen vergen. De commissie 
stelt zich op het standpunt dat vooral naar het resultaat van de 


368 Dit valt ook terug te lezen in de rechtseenheidbrief van het TIB en de CTIVD aan de 
Tweede Kamer over hun interpretatie van de Wiv 2017 van 23 november 2018. Kamer- 
stukken II 2018/19, 29 924, nr. 173, p. 3. 

369 Zie in meer detail: Rapport Commissie Jones-Bos 2020, p. 71 en72. 

370 Rapport Commissie Jones-Bos 2020, p. 72. 
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gegevensverwerking moet worden gekeken. Kort weergegeven: is het resultaat in 
essentie een deelverzameling van de betrokken gegevens, dan zijn geen additio- 
nele waarborgen vereist; voegt het resultaat daarentegen iets toe aan de betrokken 
gegevens, dan zijn wel extra waarborgen vereist”! Met andere woorden, aan een 
eenvoudige zoekslag in de beschikbare databronnen waarbij gericht wordt gezocht 
naar specifieke informatie over een target kunnen lichtere eisen worden gesteld 
dan aan meer complexe data-analyses waarbij gegevens uit verschillende bronnen 
met elkaar worden gecombineerd om tot nieuwe inzichten te komen. Ook de 
CTIVD meent dat GDA beter gereguleerd moet worden. De CTIVD benadrukt ech- 
ter dat de privacy-impact niet wordt bepaald door de vraag of een ‘simpel’ of ‘een- 
voudig instrument’ wordt ingezet.” Zij lijken meer de nadruk te leggen op de pri- 
vacy-inbreuk dan op de vorm die GDA aanneemt. De vraag is evenwel of een een- 
voudige naslag, waarover zoveel discussie bestaat tussen de diensten en de toe- 
zichthouders, ook een ernstige privacy-inbreuk oplevert. 

Een ander probleem betreft het toezicht op de uitoefening van de inzet 
van GDA bij OOG-data gericht op het identificeren van personen en organisaties. 
Hiervoor is voorafgaande toestemming van de minister vereist en voert de TIB een 
rechtmatigheidscontrole uit. De CTIVD merkt echter op dat een ‘onafhankelijke 
voorafgaande toets voor de inzet van data-analyse [..] niet altijd goed mogelijk [is], 
omdat niet altijd goed van te voren het proces van data-analyse kan worden inge- 
schat. Voorafgaand en gedurende het gebruik is het wel mogelijk om juist de ont- 
wikkeling van applicaties (op basis van o.a. machine learning en AI) goed te docu- 
menteren en hier verantwoording over af te leggen.’ De waarborgen dienen vol- 
gens de CTIVD daarnaast veel meer in de manier van omgaan met de gegevens (de 
‘behoorlijke en zorgvuldige gegevensverwerking’) dan in een vooraf-toets op 
noodzaak, proportionaliteit en gerichtheid te worden vormgegeven. Bij het toe- 
zicht zal in de volgende paragraaf nader worden stilgestaan. De wetgever is in ie- 
der geval voornemens de ex ante-toetsing voor GDA bij OOG-data te laten verval- 
len in het kader van de Tijdelijke wet.373 

Tot slot maken we nog een opmerking over de bewaartermijnen. Immers, 
GDA kan alleen worden toegepast op gegevens die ook daadwerkelijk in de sys- 
temen aanwezig zijn (dus nog niet zijn verwijderd of vernietigd). Ook over de be- 
waartermijnen is discussie ontstaan in relatie tot de relevantiebeoordeling van 
bulkdatasets, die binnen één jaar moet plaatsvinden (met een mogelijke verlenging 
van een half jaar, zie art. 27 lid 1 Wiv 2017). Daarbij gaat het dan over bulkdatasets 
die niet via de OOG zijn verzameld, maar via andere bevoegdheden zoals de 


371 Zie meer uitvoerig: Rapport Commissie Jones-Bos 2020, p. 76. 

372 De reactie op de wetsevaluatie in de brief van de CTIVD van 11 augustus 2020 met ken- 
merk 2020/0096, p. 15. 

373 Concept MvT Tijdelijke wet, p. 25. 
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hackbevoegdheid (voor OOG-data geldt namelijk een ruimere bewaartermijn van 
drie jaar, zie art. 48 lid 5 Wiv 2017). Gegevens die niet binnen de gestelde termijn 
zijn onderzocht, moeten terstond worden vernietigd. In de praktijk is deze termijn 
problematisch gebleken, omdat bulkdatasets veel langer van waarde kunnen en 
blijken te zijn.” De kunstgreep die vervolgens in de praktijk werd toegepast — na- 
melijk om bij het verlopen van de bewaartermijn de dataset grotendeels of geheel 
relevant te verklaren en gegevens uit de dataset verder te verwerken — is door de 
CTIVD als onrechtmatig beoordeeld. Een relevantiebeoordeling is volgens de 
CTIVD in feite ook niet goed mogelijk gelet op de aard en omvang van bulkdata- 
sets.57% De wetgever koerst er in het conceptwetsvoorstel voor de tijdelijke wet op 
om de beoordelingstermijnen voor bulkdatasets verkregen door inzet van hackbe- 
voegdheden te verlengen met telkens een jaar en de relevantiebeoordeling van ar- 
tikel 27 lid 1 Wiv 2017 buiten toepassing te verklaren” Het gaat dan wel uitslui- 
tend om bulkdatasets ‘die gegevens bevatten die verworven zijn in onderzoeken 
naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse 
belangen’, want alleen die onderzoeken vallen onder het bereik van de tijdelijke 
regeling. Mogelijk zal de wetgever de uiteindelijke regeling echter ook op dit punt 
aanpassen, nu hier de juridische eisen niet goed lijken te stroken met de praktische 
realiteit. 


4.6 TOEZICHT OP DE NALEVING VAN DE WIv 2017 


In het voorgaande is reeds aangegeven dat normering en toezicht nauw met elkaar 
samenhangen. Zonder toezicht zijn er immers weinig (externe) prikkels om de ge- 
stelde normen/regels ook daadwerkelijk na te leven. Toezicht heeft ook een belang- 
rijke rol in het preciseren van de gestelde normen*’s, wat ook te constateren valt in 
de rapporten van de CTIVD waarin veelvuldig wordt ingegaan op vragen over hoe 
de norm nu precies luidt dan wel moet worden ingevuld en wat het toepassings- 
bereik is van bepaalde in regels vervatte normen. De Evaluatiecommissie Wiv 2017 
legt bovendien ook een duidelijk verband tussen de inhoud van de norm en de 
effectiviteit van het toezicht.” Effectief toezicht is voorts belangrijk voor de legiti- 
miteit van het optreden van de diensten en voorts een voorwaarde voor de toepas- 
sing van bepaalde verstrekkende bevoegdheden. Alle aanleiding derhalve om in 


374 Concept MvT Tijdelijke wet, p. 20. 

375 De reactie op de wetsevaluatie in de brief van de CTIVD van 11 augustus 2020 met ken- 
merk 2020/0096, p. 8. 

376 Brief van de CTIVD, p. 8. 

377 Concept MvT Tijdelijke wet, p. 25. 

378 Samadi 2020, p. 125 en 359. 

379 Rapport Commissie Jones-Bos 2020, p. 115. 
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deze paragraaf nader stil te staan bij de wijze waarop het toezicht op de Wiv 2017 
in grote lijnen is vormgegeven en om mogelijke aandachtspunten voor het straf- 
vorderlijk toezicht te identificeren. De analyse is beperkt tot het niet-parlementaire 
toezicht. De controle die de vaste Kamercommissies van BZK en Defensie en Com- 
missie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) uitoefenen op de taak- 
uitoefening van de diensten blijft dan ook verder buiten beschouwing nu dat voor 
toezicht in een strafvorderlijke context niet rechtstreeks relevant is. 


4.6.1 Huidige inrichting toezichtstelsel 


Het niet-parlementaire toezicht op de taakuitoefening van de diensten is thans 
neergelegd bij twee instanties, de CTIVD en de TIB die onafhankelijk van elkaar 
opereren maar wel rechtseenheidoverleg voeren. Er bestaan derhalve verschil- 
lende vormen van ‘toezicht’ op uiteenlopende momenten, voorafgaand aan de in- 
zet (ex ante), tijdens de inzet (ex durante/ex nunc) en na afloop van de inzet (ex post) 
van een bevoegdheid. 

De CTIVD is in het leven geroepen bij de vorige wijziging van de Wiv in 
2002 en oefent sindsdien toezicht uit zowel tijdens de inzet van bevoegdheden door 
de diensten als achteraf.**! De CTIVD doet onderzoek naar de uitvoering van de 
wet en brengt verslag uit in openbare rapporten en kan de betrokken ministers 
gevraagd en ongevraagd adviseren over haar conclusies (art. 112 en 113 Wiv 2017). 
De CTIVD bestaat sinds de inwerkingtreding van de Wiv 2017 uit twee afdelingen, 
te weten een afdeling toezicht en een afdeling klachtbehandeling (art. 97 lid 2 Wiv 
2017). In het kader van het toezicht geeft de CTIVD een oordeel over de rechtma- 
tigheid van het optreden van de diensten in een specifiek geval of dossier. De af- 
deling klachtbehandeling behandelt klachten over het handelen van de diensten 
en meldingen over mogelijke misstanden bij de diensten (art. 97 lid 4 Wiv 2017). 
Anders dan de oordelen over de rechtmatigheid in het kader van haar toezichts- 
taak, zijn de oordelen over klachten bindend.** In het navolgende richten wij ons 


380 Er wordt in de praktijk een strikt onderscheid gemaakt tussen de toetsing en toezicht, 
waarbij de TIB wordt aangemerkt als toetsingscommissie en CTIVD de toezichthouder 
is, zo komt naar voren uit de interviews. Echter, de rechtmatigheidstoetsing van de TIB 
kan ook worden gezien als een vorm van toezicht, zo wordt ook tot uitdrukking gebracht 
in het schema van het toezichtstelsel in de MvT bij de Wiv 2017 (Kamerstukken 11 2016/17, 
34588, nr. 3 (MvT Wiv 2017), p. 69). 

381 Rapport Commissie Jones-Bos 2020, p. 116. 

382 Er is wel voor gepleit om de CTIVD bindende rechtmatigheidsoordelen te laten uitspre- 
ken, maar daar heeft de wetgever destijds bewust van afgezien, zie Kamerstukken II 
2013/14, 33 820, nr. 2, p. 6. Over het algemeen worden de aanbevelingen van de CTIVD 
wel opgevolgd. Zie Rapport Commissie Jones-Bos 2020, p. 123. De Evaluatiecommissie 2017 


acht een bindende toetsing niet passend, daar dan de commissie het laatste woord zou 
= 
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op de toezichtstaak van de CTIVD.** Ten aanzien van haar toezichtstaak beschikt 
de CTIVD over vergaande bevoegdheden, die zijn neergelegd in artikel 107 e.v. 
Wiv 2017. Zo heeft zij rechtstreekse toegang tot alle relevante informatie en sys- 
temen van de AIVD en MIVD, maar kan ook medewerkers van de diensten horen 
(al dan niet onder ede) die verplicht zijn hun medewerking te verlenen en ant- 
woord te geven. Ook heeft de commissie de bevoegdheid deskundigen in te scha- 
kelen ten behoeve van de uitoefening van haar taken en kan zij bepaalde plaatsen 
betreden. Van belang is dat de commissie zelf bepaalt welke thema’s zij onderzoekt 
en op welke wijze. De CTIVD heeft zich volgens de evaluatiecommissie in de 
afgelopen jaren meer toegelegd op het houden van dynamisch toezicht (ex durante) 
waarbij het zoveel mogelijk real-time meekijkt met bepaalde handelingen. 

De TIB is ingevoerd met de inwerkingtreding van de Wiv 2017 op 1 mei 
2018. Deze commissie is eveneens belast met een rechtmatigheidstoets, maar dat 
betreft een ex ante-toetsing in de autorisatiefase waarbij de rechtmatigheid van de 
toestemming van de minister voor de inzet van een bepaalde bijzondere bevoegd- 
heid wordt getoetst voorafgaand aan de daadwerkelijke inzet van die bevoegdheid 
(die in art. 36 lid 1 Wiv 2017). Dat leidt tot een bindend oordeel. Indien de toet- 
singscommissie oordeelt dat de toestemming niet rechtmatig is verleend, dan ver- 
valt de toestemming van rechtswege, zo valt te lezen in artikel 36 lid 3 Wiv 2017. 
De ex ante-toets wordt door de evaluatiecommissie gezien als een grote meer- 
waarde voor het toezichtstelsel 386 Die meerwaarde is volgens de evaluatiecommis- 
sie onder meer gelegen in het feit dat de diensten door de toetsing de vorm en 
inhoud van de aanvragen voor het inzetten van bijzondere bevoegdheden naar een 


hebben over de uitleg van wetsbepalingen en dit ook dialoog met de diensten zou kun- 
nen schaden. Rapport Commissie Jones-Bos 2020, p. 124. De wetgever zit op dit punt echter 
op een ander spoor, zoals hierna nog duidelijk zal worden. 

383 Notabene, binnen de Wiv wordt de toezichtstaak onderscheiden van de taak tot klacht- 
behandeling. Daar zijn ook andere afdelingen binnen de CTIVD mee belast. Dit is om te 
voorkomen dat ‘commissieleden die in het kader van het rechtmatigheidstoezicht over 
een bepaalde kwestie hebben geoordeeld, over diezelfde kwestie tevens oordelen ingeval 
een klacht ter zake is ingediend’ Kamerstukken II 2016/17, 34588, nr. 3 (MvT Wiv 2017), p. 
179. Klachtbehandeling kan echter ook worden gezien als een toezichtsinstrument. Bur- 
gers kunnen tenslotte langs die weg een bindende uitspraak krijgen van de CTIVD en de 
minister is ook verplicht die op te volgen (MvT, p. 15). Zie in dit verband ook Toe Laer 
2019, p. 734-738. 

384 De onafhankelijkheid van de CTIVD blijkt onder meer uit de benoemingsprocedure en 
de financiering. Het budget is deel van de Rijksbegroting. De CTIVD valt ook niet onder 
het ministerie van BZK of Defensie maar onder het ministerie van Algemene Zaken. 

385 Rapport Commissie Jones-Bos 2020, p. 118. 

386 Rapport Commissie Jones-Bos 2020, p. 119. 
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hoger plan brengen.**” Tevens speelt de TIB ‘een belangrijke rol in het scherp hou- 
den van diensten in hun overwegingen om bijzondere bevoegdheden in te zetten’. 
De wetgever heeft er uitdrukkelijk voor gekozen deze toetsing bij een andere in- 
stantie dan de CTIVD te beleggen, omdat anders de autorisatie vooraf, het toezicht 
tijdens en achteraf en de klachtbehandeling in één hand zou zijn, hetgeen afbreuk 
zou doen aan de onafhankelijkheid van de toetsing. 


4.6.2 Controverse over het toezicht en de plannen van de wetgever 


Mede naar aanleiding van de bevindingen en aanbevelingen van de Evaluatiecom- 
missie Wiv 2017 is de nodige discussie ontstaan over de wijze waarop het toezicht 
op de diensten thans is ingericht. Volgens de Evaluatiecommissie 2017 heeft de 
wetgever de relatie tussen het ex-ante en ex-post toezicht niet goed doordacht, het- 
geen heeft geleid tot spanningen in het stelsel. De commissie acht het niet gelukkig 
dat de TIB niet alleen een rol is toebedeeld bij de verwerving van gegevens hetgeen 
passend is bij de aard van een ex-ante toetsing (waarbij een go/no-go-beslissing zal 
moeten worden genomen), maar ook bij bepaalde bevoegdheden in de verwer- 
kingsfase.**° De commissie vindt de statische aard van de ex ante-toets niet goed 
passen bij de dynamische verwerkingsfase. Zij ziet derhalve uitsluitend een rol 
voor de TIB weggelegd in de autorisatiefase (voor de verzameling), maar niet in 
hetgeen daarop volgt.3 Hoewel de commissie in algemene zin tevreden is over de 
structuur van het bestaande stelsel van toezicht, beveelt zij aan de regeling op dit 
punt aan te passen door de TIB alleen een rol toe te bedelen bij de verwervende 
bevoegdheden”! Daarbij past het volgens de commissie ook niet om voorwaarden 
aan een rechtmatigheidsoordeel te verbinden zoals dat thans in de praktijk wel ge- 
beurt. 

Op de voorstellen van de Evaluatiecommissie Wiv 2017 zijn kritische re- 
acties gevolgd. Die kritische reacties zijn onder meer afkomstig van de toezicht- 
houders. Zo kan de TIB zich niet vinden in de aanbeveling om de toetsing van de 
TIB te beperken tot een statische ex ante-toets ten aanzien van het verwerven van 


387 In die aanvragen moeten de diensten ingevolge het bepaalde in art. 26 Wiv 2017 aangeven 
waarom de inzet van de bijzondere bevoegdheid volgens de diensten voldoet aan de ver- 
eisten van proportionaliteit, subsidiariteit, noodzakelijkheid en gerichtheid. 

388 Kamerstukken II 2016/17, 34 588, nr. 3, p. 234 (MvT) en Kamerstukken II 2016/17, 34 588, nr. 
18, p. 47 (Nota naar aanleiding van het Verslag Wiv 2017). Zie ook Rapport Commissie 
Jones-Bos 2020, p. 116. 

389 Rapport Commissie Jones-Bos 2020, p. 145. 

390 Rapport Commissie Jones-Bos 2020, p. 129. De TIB denkt daar zelf anders over, zoals in de 
conclusie nog aan de orde zal komen. 

391 Zie aanbeveling 44 van het Rapport Commissie Jones-Bos 2020. 

392 Rapport Commissie Jones-Bos 2020, p. 145. 
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gegevens. De TIB vreest dat het verwordt tot stempelmachine,®® terwijl de CTIVD 
graag ziet dat zij bindende oordelen kan geven en instrumenten krijgt toebedeeld 
om te handhaven bij onrechtmatige gegevensverwerkingen.*4 Tevens heeft de Al- 
gemene Rekenkamer zijn zorgen geuit over de administratieve lasten die de toet- 
singen meebrengen en wat voor effect die hebben op de taakuitoefening en slag- 
kracht van de diensten.” Vanwege de uiteenlopende opvattingen over hoe het 
toezicht moet worden ingericht heeft de minister van BZK een commissie inge- 
steld om nader advies uit te brengen over een duurzaam stelsel van toezicht en 
toetsing op de inlichtingen- en veiligheidsdiensten, (mede) in het licht van de re- 
cente jurisprudentie van het EHRM. Die commissie onder voorzitterschap van 
Bovend'Eert adviseert om de TIB om te vormen tot een rechterlijke instantie, waar- 
bij het nieuwe RTIB (Rechtscollege Toetsing inzet Bevoegdheden) zich niet hoeft te 
beperken tot de verwerving van gegevens, maar ook de wijze van verwerking van 
gegevens in zijn toetsing kan betrekken? 

In het conceptvoorstel voor de Tijdelijke wet vaart de wetgever een deels 
andere koers. Indien de plannen in hun huidige vorm doorgang vinden, dan komt 
bindende toetsing die de TIB uitvoert ten aanzien van een aantal bevoegdheden 
waaronder het verkennen van OOG-data te vervallen voor die onderzoeken 
waarop de tijdelijke regeling van toepassing is.®® Het toezicht van de CTIVD tij- 
dens en na de inzet van een bevoegdheid zou vervolgens in de ontstane leemte 
moeten voorzien. De CTIVD krijgt in die gevallen de bevoegdheid om een bindend 
oordeel te geven.” Het idee is dat het ex durante-toezicht tijdens het uitoefenen van 
bepaalde bevoegdheden wordt geïntensiveerd. Tevens wordt er een mogelijkheid 
gecreëerd om beroep aan te tekenen bij de afdeling Bestuursrechtspraak van de 


393 S. Derxi & R. Wassens, NRC Handelsblad 7 maart 2021. 

394 Zie de brief van de CTIVD aan de Evaluatiecommissie Wiv 2017 van 11 augustus 2020 
waarin de CTIVD een reactie geeft op de wetsevaluatie, p. 8. 

395 De toegenomen lastendruk ligt niet alleen aan de Wiv 2017 en de gebrekkige voorberei- 
ding, maar ook aan de inrichting van de interne werkprocessen bij de diensten. Zie het 
rapport van de Algemene Rekenkamer, Slagkracht AIVD en MIVD. De wet dwingt, de tijd 
dringt, de praktijk wringt, Den Haag 2021. Zie over de controverses in het toezicht meer 
uitgebreid: Jansen 2021, p. 419-443. 

396 Kamerbrief van 9 december 2021, kenmerk 2021-0000588756. 

397 Rapport Commissie-Bovend’Eert 2022, p. 5. De evaluatiecommissie Wiv 2017 had ook nog 
geadviseerd om een mogelijkheid te creëren om in beroep te baan tegen beslissingen van 
de TIB bij de Afdeling bestuursrechtspraak van de Raad van State, maar dit voorstel 
wordt door de commissie Bovend'Eert als niet effectief en overbodig terzijde geschoven. 
Zij ziet meer heil in het creëren van een aanvullende voorziening tot het stellen van pre- 
judiciële vragen over de uitleg van wettelijke regels. 

398 Art. 9 Tijdelijke wet, dat een uitzondering creëert op het bepaalde in art. 36 lid 1 Wiv 
2017. 

399 Zie concept MvT Tijdelijke wet, p. 14 en 30. 
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Raad van State tegen bepaalde beslissingen van de TIB en de nieuwe bindende 
bevoegdheid van de CTIVD.* Dit moet het probleem oplossen dat toezichthou- 
ders ‘niet alleen in het laatste woord in een concrete casus hebben, maar ook wat 
betreft de uitleg van begrippen en criteria, en de wijze waarop zij hieraan toetsen’, 
wat in de afgelopen jaren verschillende malen tot knelpunten heeft geleid. Hierbij 
krijgt de rechter alsnog een rol in het toezicht op diensten. 


4.6.3 Reflectie 


Het voorgaande maakt duidelijk dat er de nodige discussie is over de inrichting 
van het toezichtstelsel en de rollen van verschillende actoren daarbinnen. Die dis- 
cussie over het toezicht kan niet worden losgezien van de normering zelf. Niet al- 
leen is toezicht van belang om de gestelde normen te handhaven (vanuit de aan- 
name dat van toezicht een belangrijke prikkel tot naleving van de regels zal uit- 
gaan), maar het kan ook andersom werken. Het creëren van een goed toezichtsys- 
teem inclusief klachtafhandeling biedt wellicht ook de mogelijkheid om de materie 
zelf iets ‘losser’ te regelen, meer vanuit de beginselen dan vanuit strikte regels en 
scherpe juridische onderscheidingen. Toezicht en normering kunnen in die zin ook 
worden gezien als complementair aan elkaar. De normering vooraf moet vanzelf- 
sprekend voldoende helder zijn, zodat de betrokkenen weten onder welke omstan- 
digheden bevoegdheden mogen worden ingezet, maar te veel regels en discussie 
over toepassingsvoorwaarden kunnen adequaat optreden belemmeren. Dat zal 
niet alleen voor inlichtingendiensten gelden, maar ook voor de politie. Waarborgen 
voor de burger kunnen echter mede worden gevonden in de wijze waarop toezicht 
wordt gehouden vanuit de gedachte dat langs die weg de zorgvuldigheid van de 
inzet gemonitord kan worden. Waar dan vervolgens de juiste balans ligt tussen 
enerzijds normering en toetsing vooraf en anderzijds toezicht tijdens en achteraf is 
niet in zijn algemeenheid op voorhand te bepalen. Het hangt in ieder geval mede 
af van het type bevoegdheid dat wordt ingezet en het soort informatie dat daarmee 
wordt verwerkt. De ervaringen met de Wiv 2017 maken in ieder geval duidelijk 
dat bij het dynamische proces van gegevensverwerking een statische ex ante-toet- 
sing niet optimaal is. Dat is ook de reden dat de TIB soms ook voorwaarden stelt 
aan de gegevensverwerking bij de vraag of een bevoegdheid die primair strekt tot 
vergaring mag worden ingezet. Onder de nieuwe voorgestelde regeling koerst de 
wetgever duidelijk op het versterken van het ex durante en ex post toezicht door de 
CTIVD. Er wordt daarbij ook nagedacht over de vraag hoe een systeem van ex du- 
rante-toezicht dan precies moet worden ingericht. Een dergelijk systeem zou mo- 
gelijk ook van nut kunnen zijn in de strafvorderlijke context waarbij de politie ge- 
gevens die voor andere doeleinden zijn vergaard verder gaat verwerken. 


400 Art. 14 Tijdelijke wet en MvT Tijdelijke wet, p. 32. 
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4.7 CONCLUSIE 


Hoewel inlichtingendiensten en opsporingsdiensten onder verschillende regimes 
opereren, vallen er duidelijk parallellen te trekken tussen het vergaren van infor- 
matie ten behoeve van de opsporing en het verzamelen van informatie ten behoeve 
van de inlichtingentaak. De inlichtingendiensten hebben evenwel aanmerkelijk 
meer ervaring met het verwerken van grote hoeveelheden gegevens. Dit kan wor- 
den gezien als een van hun kernactiviteiten. De normering in de Wiv is in de loop 
der jaren diverse malen aangepast aan de voortschrijdende techniek en jurispru- 
dentie, maar nog niet naar ieders tevredenheid. Juist de problemen waartegen men 
in de praktijk aanloopt, werpen nader licht op zaken waarmee de wetgever bij de 
nadere normering in het kader van strafvorderlijke gegevensverwerking rekening 
kan houden. 

Wat betreft de systematiek van normering kan worden geconstateerd dat 
hoewel alle verwerkingsbevoegdheden in één wet zijn neergelegd, er niettemin 
vragen kunnen rijzen over de verhouding tussen bevoegdheden. Het brede ver- 
werkingsbegrip waaronder ook de verzameling wordt geschaard speelt daarbij 
parten. De Wiv 2017 maakt wel onderscheid tussen verzameling en verwerking in 
de systematiek, maar dat is niet strikt doorgevoerd. Dat komt ook doordat de wijze 
van verzameling tot op grote hoogte leidend is voor de eisen die worden gesteld 
aan de verdere verwerking van gegevens. Anders dan in het WvSv kent de ver- 
werking van gegevens (los van de verzameling) een expliciete grondslag in de wet 
en is dit als zelfstandige bevoegdheid geformuleerd. Wat daarbij wel opvalt, is dat 
de verzameling op andere en striktere wijze is genormeerd dan de (verdere) ver- 
werking. De verzameling is meer rule based, hetgeen vooral tot uitdrukking komt 
in het systeem van vereiste autorisaties, terwijl de verdere verwerking meer prin- 
ciple based is, waarbij voor de verdere verwerking het noodzakelijkheidsbeginsel en 
het doelbindingsbeginsel een belangrijk richtsnoer vormen. 

Wanneer de inhoud van de normering nader in ogenschouw wordt geno- 
men, dan blijkt allereerst vooral de koppeling van de normering aan de vergaring 
problematisch te zijn. De eisen aan de verwerking zijn grotendeels afhankelijk van 
de wijze waarop de informatie is vergaard en niet van het type informatie of het 
doel waarvoor die informatie wordt verwerkt. Dit wordt door een van de respon- 
denten aangemerkt als een systeemfout in de Wiv 2017.4°! Het probleem doet zich 
vooral voor bij de verzameling van bulkgegevens. Anders dan politiediensten be- 
schikken de diensten over een specifieke bulkinterceptiebevoegdheid; zij kunnen 
gegevens via de ether of via de kabel in bulk binnenhalen. Echter, ook gegevens 
die niet via deze specifieke interceptiebevoegdheid zijn verkregen vallen als 


401 Respondent AIVD. 
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bulkgegevens te kwalificeren. Denk aan datasets die zijn vergaard met behulp van 
een grote hackoperatie en waarin zich ook allerlei gegevens van ‘onschuldige’ bur- 
gers bevinden. Voor de verdere verwerking van deze gegevens gelden echter an- 
dere eisen dan voor gegevens die zijn verkregen via de bulkinterceptiebevoegd- 
heid, hetgeen naar de inhoud niet goed valt te rechtvaardigen nu het zwaartepunt 
van de privacy-inbreuk ligt bij de verdere verwerking. Daar ligt een duidelijk leer- 
punt voor de wetgever, namelijk om deze zaken tot op zekere hoogte los van elkaar 
te zien. Voorts valt er iets te leren van de Wiv 2017 voor wat betreft de toegang tot 
die gegevens. Binnen de Wiv is duidelijk sprake van een functiescheiding; niet ie- 
dereen heeft toegang tot die grote verzameling van gegevens. Daaromheen is een 
systeem van autorisaties gebouwd. 

Voorts maken de ervaringen met de Wiv 2017 opnieuw duidelijk dat bij 
de normering en het introduceren van juridische begrippen en onderscheidingen 
goed moet worden gekeken naar de praktijk. De tekst van de wet maakt diverse 
juridische onderscheidingen, die niet (meer) goed aansluiten bij de technische wer- 
kelijkheid. Er wordt in dit verband wel gesproken van een mismatch tussen de ju- 
ridische begrippen en de technische realiteit. Dat de juridische begrippen niet goed 
aansluiten is problematisch, nu daardoor allerlei discussies kunnen ontstaan over 
de inzet van bevoegdheden die enerzijds slagvaardig optreden in de weg kunnen 
staan en anderzijds de regeling minder voorzienbaar maken. Een voorbeeld van 
een dergelijke discussie is het vereiste van gerichtheid dat in de wet is geïntrodu- 
ceerd naar aanleiding van de uitbreiding van de mogelijkheden tot bulkinterceptie. 
Het vereiste van gerichtheid sluit slecht aan bij de aard van de bevoegdheid, waar 
gegevens in bulk (en ongericht) worden binnengehaald. De wetgever wil voor het 
verkennen van de gegevens dat vereiste van gerichtheid — in ieder geval bij onder- 
zoeken in het cyberdomein — dan ook loslaten. 

Een ander voorbeeld is de geautomatiseerde data-analyse. Er bestaat ver- 
schil van inzicht over wanneer daarvan precies sprake is, terwijl dat juridisch wel 
van belang is omdat voor geautomatiseerde gegevensverwerking meer waarbor- 
gen in het leven zijn geroepen dan voor ‘gewone’ gegevensverwerking en voor de 
bevoegdheid van GDA bij gegevens uit onderzoeksopdrachtgerichte interceptie ter 
identificatie van personen of organisaties nog extra eisen gelden. Eén van de res- 
pondenten stelt dat pogingen om bepaalde zaken te definiëren met als doel een 
onderscheid te maken tussen wat wél als GDA moet worden gezien wat niet tot op 
zekere hoogte vruchteloos zijn gebleken. Het verschil van inzicht gaat echter ver- 
der dan alleen de vraag hoe een wettelijke term moet worden uitgelegd. Opvattin- 
gen lopen ook uiteen over welke waarborgen nu eigenlijk moeten gelden en welke 
gezichtspunten daarin voor de normering leidend moeten zijn. De discussie over 
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de verschillende vormen van geautomatiseerde gegevensanalyse en wat in dit ver- 
band nu precies uit de jurisprudentie van het EHRM kan worden afgeleid is ook 
in de strafvorderlijke context hoogst relevant. De ervaringen met Wiv 2017 leren 
dat als dit niet helder is genormeerd, daarover in de praktijk veel discussie kan 
ontstaan. 

Een ander leerpunt betreft het toezicht. Weliswaar zijn er de nodige ver- 
schillen van inzicht over de inrichting van het toezicht binnen de Wiv en is daar 
ook het laatste woord nog niet over gezegd, het is wel duidelijk dat de aard van 
het toezicht niet los kan worden gezien van het soort bevoegdheid dat wordt inge- 
zet. Het dynamische proces van gegevensverwerking voor onderzoeksdoeleinden 
(of het versterken van de informatiepositie), laat zich in ieder geval minder goed 
vangen in harde regels en een statische ex ante-toets. Dat is ook een aspect waarmee 
men in het kader van strafvordering rekening dient te houden. Wellicht valt er ook 
voor de politie iets te leren van een nieuw te ontwerpen systeem van ex durante- 
toezicht. Op te merken valt dat het toezicht zoals dat thans is vormgegeven voor 
wat betreft gegevensverwerking in strafvorderlijke context wel mager afsteekt te- 
gen het uitgebreide stelsel van toezicht in de Wiv 2017. Daar vallen verschillende 
verklaringen voor aan te wijzen. Zo wordt het meer uitgebreide stelsel van toezicht 
deels gerechtvaardigd door de meer ingrijpende bevoegdheden (zoals de intercep- 
tiebevoegdheid) van de diensten en het ontbreken van rechterlijke toetsing ach- 
teraf. Tegelijkertijd vraagt het verschuiven van een meer reactieve naar een meer 
proactieve wijze van inzet van bevoegdheden bij de politie wellicht ook om een 
andersoortig systeem van toezicht, zodat de rechten van burgers die - tegen hun 
wilen zonder dat zij betrokken zijn bij strafbare feiten - in dat proactieve onderzoek 
worden betrokken voldoende zijn gewaarborgd. 


5 Een blik over de grens: 
gegevensverwerking voor strafvorderlijke 
doeleinden in België, Duitsland en 
Noorwegen 


5.1 INLEIDING 


In dit hoofdstuk staat de volgende deelvraag centraal: op welke manier is de verwer- 
king van persoonsgegevens voor de opsporing geregeld in Duitsland, Belgié en Noorwegen, 
in hoeverre wijkt deze regeling af van de huidige regeling in Nederland en welke lessen kan 
de wetgever trekken die relevant zijn voor de normering van de verwerking van persoons- 
gegevens voor de opsporing? Gezien de reikwijdte van het onderzoek gaat het hier 
niet om een klassieke juridische rechtsvergelijking in de zin van een diepgravende 
studie van de rechtstelsels van de geselecteerde landen. De blik over de grens be- 
treft een verkenning van de regelingen in het buitenland, met als doel het verkrij- 
gen van inspiratie voor de wettelijke normering van onderzoek aan gegevens voor 
strafvorderlijke doeleinden. 

Voor elk van de geselecteerde landen is gekeken naar een drietal anker- 
punten dat tevens ter structurering van de onderstaande paragrafen is gebruikt. 
Ten eerste is gekeken naar het wettelijke systeem inzake de verwerking van gege- 
vens voor opsporing. Welke wetten reguleren de verzameling en de verwerking 
van gegevens? Wordt op het niveau van wetgeving expliciet onderscheid gemaakt 
tussen vergaren en verwerken van gegevens en welke verklaringen zijn er voor de 
gemaakte wetssystematische keuzes te geven? 

Ten tweede is aandacht besteed aan de inhoud van de normering van de 
vergaring en verwerking van gegevens voor de opsporing. Hoe wordt het beginsel 
van doelbinding uitgelegd? Zijn er voor de verwerking van bulkgegevens andere 
criteria ontwikkeld dan de gebruikelijke beginselen die hoe dan ook gelden voor 
het verwerken van gegevens? Hoe wordt doelafwijkend gebruik van gegevens uit- 
gelegd en genormeerd? Welke grondslagen kent de wet voor het combineren van 
gegevens (als een vorm van doelafwijkend gebruik) voor het opsporen van straf- 
bare feiten? Welke discussie vindt er thans plaats aangaande de verwerking van 
bulkgegevens in de opsporing? Welke problemen kunnen worden geïdentificeerd 
voor wat betreft de toepassing van het huidige normerende kader in de praktijk? 
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Ten derde is ook het toezichthoudend kader in kaart gebracht. Welke procedures 
en modaliteiten kent de wet- en regelgeving met betrekking tot het toezicht op ver- 
werking van bulkgegevens? Welke bevoegdheden heeft de bevoegde autoriteit om 
bij niet-naleving op te treden? Welke procedures bestaan voor een onafhankelijke 
ex post facto-toetsing van de naleving van de regels inzake verwerking van bulkge- 
gevens en welke bevoegdheden heeft de bevoegde autoriteit om gevallen van niet- 
naleving aan te pakken? 

Bij de verslaglegging in dit hoofdstuk is ervoor gekozen steeds in te gaan 
op de voor Nederland relevante aspecten in de geselecteerde landen. Het navol- 
gende bevat dus geen uitputtende beschrijving van het geldende recht ter zake de 
hierboven genoemde ankerpunten. Tevens worden de regelingen van de geselec- 
teerde landen niet diepgaand met elkaar noch met de relevante in hoofdstuk 3 be- 
sproken EU-regelgeving vergeleken. 

De opbouw van dit hoofdstuk is als volgt. In paragraaf 5.2 wordt eerst de 
keuze voor landen en de gehanteerde methodologie nader toegelicht. Vervolgens 
worden de resultaten aan de hand van de bovengenoemde driedelige structuur 
voor elk van de geselecteerde landen gepresenteerd (par. 5.3. België, par. 5.4. Duits- 
land en 5.5. Noorwegen). In paragraaf 5.6 volgt de conclusie. 


5.2 LANDENKEUZE EN METHODOLOGIE 


Voorafgaand aan de landenkeuze is een oriénterend onderzoek uitgevoerd. Door 
middel van openbare bronnen en relevante wet- en regelgeving is in kaart gebracht 
welke landen mogelijk interessant zouden kunnen zijn voor dit onderzoek. Bij dit 
oriénterende onderzoek is met name gekeken naar landen die de Richtlijn 2016/680 
hebben geimplementeerd. Ook in niet EU-landen bestaat aandacht voor gegevens- 
verwerking in het kader van de opsporing, maar de Richtlijn 2016/680 kan worden 
beschouwd als het meest ontwikkelde instrument op dit terrein. Om deze reden 
zijn niet EU-landen niet in het oriénterende onderzoek betrokken. 

Uit het oriénterende onderzoek kwam naar voren dat de meeste recente 
ontwikkelingen op het gebied van normering van verwerking van (bulk)gegevens 
in het kader van de opsporing het gevolg zijn van het (recent) implementeren van 
de Richtlijn 2016/680. Met name op het terrein van digitalisering en 


403 De deadline voor de implementatie van de Richtlijn 2016/680 was 6 mei 2018 (artikel 59 
Richtlijn 2016/680). De Europese Commissie heeft Griekenland, Spanje en Duitsland op 
de vingers getikt vanwege het niet of onvolledig implementeren van de Richtlijn 
2016/680. 
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technologisering ervaren andere landen met Nederland vergelijkbare knelpun- 
ten.*°* Over het algemeen hebben EU-landen de Richtlijn 2016/680 in (hoofdstuk- 
ken van) specifieke nationale wetgeving geïmplementeerd. Veel landen hebben 
de AVG en de Richtlijn 2016/680 in een gezamenlijke wet geïncorporeerd, waarbij 
de nationale wetteksten vaak vrij nauw bij de tekst van de Richtlijn 2016/680 aan- 
sluiten.“ 

De uiteindelijke selectie van landen is gemaakt op basis van de wens te 
kiezen voor landen die enerzijds goed zijn te vergelijken met Nederland, bijvoor- 
beeld doordat de opsporing goeddeels op dezelfde wijze is genormeerd, en ander- 
zijds enige verschillen met betrekking tot de normering van gegevensverwerking 
voor opsporing ten opzichte van Nederland vertonen. In het bijzonder is gezocht 
naar verschillen in de wettelijke systematiek voor de normering van dataverwer- 
king in de opsporing en het toezichthoudende kader. De voorselectie heeft geleid 
tot vijf landen die op één of meerdere onderdelen afwijken: België, Duitsland, 
Noorwegen, Verenigd Koninkrijk en Zwitserland. In deze landen is relevante wet- 
en regelgeving, literatuur en jurisprudentie nader onderzocht, waarna een defini- 
tieve landenselectie is gemaakt, bestaande uit België, Duitsland en Noorwegen. 

Voor de eerste selectie van landen is gekozen omdat deze landen enerzijds 
veel overeenkomsten hebben met Nederland. De landen (op het Verenigd Konink- 
rijk na) zijn geworteld in een civil law traditie en kennen aldus een WvSv waarin 
op basis van het legaliteitsbeginsel de regeling inzake de opsporing is ontwikkeld. 
Anderzijds verschillen deze landen ook van Nederland. Zo is in België toezicht op 
de verwerking van gegevens niet neergelegd bij een algemene gegevensbescher- 
mingsautoriteit, maar bij een orgaan dat specifiek is belast met toezicht op gege- 
vensverwerking door de politie. Duitsland besteedt — anders dan Nederland — ook 
in het WvSv veel aandacht aan de bescherming van persoonsgegevens. Bovendien 
is in Duitsland een eigen doctrine ontwikkeld op het gebied van doelbinding. In 
Noorwegen is de verwerking van gegevens vrijwel geheel buiten het WvSv in een 
vrij nieuwe politionele gegevensbeschermingswet geregeld. 


404 In dit kader onderstreept de European Data Protection Board (EDPB) de noodzaak om 
staten vanuit de EU nadere sturing te geven. Zie de bijdrage van de EDPB aan de evalu- 
atie van de Richtlijn 2016/680. Beschikbaar via: https://edpb.europa.eu/system/files/2021- 
12/edpb contribution Richtlijn 2016/680 review en.pdf. 

405 Hudobnik 2020, p. 485-500. Op de website van de Europese Commissie kan een voor- 
beeld voor de implementatiewet van de Richtlijn 2016/680 worden geraadpleegd: 
https://ec.europa.eu/home-affairs/system/files/2019-12/bremen mo- 
del law 20191023 en.pdf). 

406 Dat is bijvoorbeeld in Frankrijk, Ierland, Letland, Oostenrijk, Verenigd Koninkrijk het 
geval. 
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In de definitieve selectie van landen zijn het Verenigd Koninkrijk en Zwitserland 
niet meegenomen. Uit nadere bestudering bleek dat het systeem van het Verenigd 
Koninkrijk zodanig afwijkend is van het Nederlandse, onder meer omdat de wet- 
en regelgeving op het gebied van de opsporing en gegevensverwerking zeer ver- 
snipperd is,4°” dat het heel moeilijk zou worden om voor Nederland bruikbare ge- 
zichtspunten te distilleren.“ Voor wat betreft Zwitserland geldt dat hier geen op- 
vallende relevante ontwikkelingen lijken plaatsvinden. Daar komt verder nog bij 
dat Zwitserland in veel opzichten overeenkomsten met Duitsland vertoont en 
daarom ook niet meteen een wezenlijk nieuw perspectief biedt op de wettelijke 
systematiek, de normering of het toezicht op het gebied van gegevensverwerking 
en de opsporing. 

Ten behoeve van de rechtsvergelijkende blik over de grens is een juridi- 
sche analyse uitgevoerd van de relevante wet- en regelgeving, is een (beperkte) 
literatuurstudie verricht en zijn met experts in de drie verschillende landen inter- 
views gehouden. Voor de juridische analyse is met name gekeken naar de wette- 
lijke kaders voor de normering van opsporingsbevoegdheden waarmee gegevens 
kunnen worden verzameld en het kader voor de normering van de verwerking 
van deze gegevens. Waar mogelijk zijn ook de jurisprudentie en de wetshistorische 
stukken geraadpleegd. Voor een beter begrip en een nadere duiding van de bevin- 
dingen uit de juridische analyse zijn ook relevante rechtswetenschappelijke litera- 
tuur en (beleids)rapportages geraadpleegd. De focus lag steeds op het verzamelen 
van de meest recente inzichten in de manier waarop in het desbetreffende land is 
omgegaan met de implementatie van de Richtlijn 2016/680, welke discussie dit 
heeft gegenereerd, en welke actuele vragen en debatten in de 


407 Relevant zijn bijvoorbeeld de Criminal Justice and Police Act 2001 (die toelaat dat politie 
materiaal dat niet van ander materiaal kan worden gescheiden, zoals digitale data, in 
beslag kan nemen); de Criminal Procedure and Investigations Act 1996 (regelt hoe politie 
relevant materiaal moet vastleggen, bewaren en aan de aanklager ter beschikking stellen, 
maar heeft weinig aanpassingen die relevant zijn voor de verwerking van bulkdata on- 
dergaan sinds 1996); de Investigatory Powers Act 2016 bevat bepalingen over interceptie 
van communicatie); en bevat de Britse Data Protection Act 2018 in deel 3 de implementatie 
van de Richtlijn 2016/680, maar verschaft geen zelfstandige grondslag op basis waarvan 
gegevens mogen worden verwerkt. Zie nader ook Information Commissioner’s Office, 
Guide to Law Enforcement Processing. 

408 Zo zijn alleen voor de inbeslagneming van en analyse van gegevens in een smartphone 
verschillende wetten van belang. Zie hierover uitgebreid het kritische rapport van het 
Information Commissioner’s Office over de wijze waarop de Britse politie omgaat met 
het in beslag nemen van mobiele telefoons, Mobile phone data extraction by police forces in 
Engeland and Wales, 2020, p. 21-30, te raadplegen via: https://ico.org.uk/about-the- 
ico/what-we-do/mobile-phone-data-extraction-by-police-forces-in-england-and-wales/. 
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rechtswetenschappelijke literatuur recent naar voren worden gebracht. Deze focus 
lag ook ten grondslag aan de aanvullende interviews die in de laatste fase met 
landenexperts zijn afgenomen. Voor de selectie van de te interviewen personen 
was met name van belang dat deze blijk hebben gegeven (in het recente weten- 
schappelijke discours) van kennis van zowel het nationale strafprocesrecht en met 
name de verzameling van bulkgegevens, en ook thuis zijn in de gegevensbescher- 
mingsrecht. Omdat vragen die ten grondslag liggen aan dit onderzoek van relatief 
recente datum zijn, blijkt het aantal academici dat zich op beide terreinen nadruk- 
kelijk profileert relatief beperkt. Per land is dan ook getracht in elk geval te spreken 
met (1) een respondent uit de academische wereld die recent onderzoek heeft ge- 
daan naar strafvorderlijke bevoegdheden voor gegevensverzameling; (2) een res- 
pondent uit de academische wereld die zich met name met (politiële) dataverwer- 
king bezighoudt; en (3) een respondent die goed zicht heeft op de praktijk van ge- 
gevensverwerking door de politie. In de bijlage is een overzicht van de geïnter- 
viewde personen opgenomen. 

Voorafgaand aan de interviews hebben respondenten nadere informatie 
en een topiclist met de te bespreken onderwerpen ontvangen. De interviews met 
buitenlandse respondenten vonden plaats via videoverbinding. Aan de respon- 
denten is voorafgaand aan het interview toestemming gevraagd voor het maken 
van een audio-opname van het gesprek met het oog op de uitwerking van een ver- 
slag ten behoeve van het datamanagementplan. Voorts is afgesproken dat het ge- 
spreksverslag na uitwerking aan de respondenten ter inzage zal worden verstrekt 
en dat voor het gebruik van citaten steeds expliciet toestemming zal worden ge- 
vraagd. De respondenten zijn verder ingelicht dat de informatie die zij verschaffen 
alsmede hun naam in een publiekelijk toegankelijk rapport zal worden opgeno- 
men. In een aantal gevallen hebben respondenten ook (aanvullende) schriftelijke 
informatie met betrekking tot de relevante topics gegeven. 

De interviews zijn semigestructureerd afgenomen, waarbij de vragen bin- 
nen de verschillende topics steeds enigszins aan de specifieke respondent zijn aan- 
gepast (gelet op de open vragen uit de juridische analyse en de literatuurstudie 
voor dat land; en op de kennis en positie van de respondent). Hierdoor was het 
aldus mogelijk om respondenten op hun specifieke kennis te bevragen met het oog 
op het verkrijgen van een zo volledig mogelijk overzicht. Globaal bevatte de topic- 
list per land een viertal onderwerpen waarover steeds specifieke nadere vragen 
werden gesteld: (1) wetssystematische keuzes en verklaringen (vergaring van 
bulkgegevens in de opsporing en de verwerking ervan, implementatie van de 
Richtlijn 2016/680); (2) de nadere normering van de verwerking van gegevens 
(grondslagen voor verwerking, de uitlegging en toepassing van het 
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doelbindingsbeginsel, doelafwijkend gebruik van gegevens); (3) de vormgeving 
van het toeziend kader voor de vergaring en verwerking van gegevens; en (4) de 
relevante recente ontwikkelingen op het niveau van wet- en regelgeving, in de 
rechtswetenschappelijke literatuur, knelpunten in de rechtspraktijk. Aan respon- 
denten is voorts gevraagd om relevante (niet anders toegankelijke) publicaties te 
delen, wat velen ook hebben gedaan. 


5.3 BELGIË 
5.3.1 Systematiek wettelijk kader 


België kent net als Nederland een WvSv met daarin allerlei bevoegden ter verga- 
ring van gegevens. Hierbij moet worden gedacht aan het doorzoeken van informa- 
ticasystemen en databeslag,*” (online) infiltratie,*® inkijkoperatie in informatica- 
systemen*!! en hackbevoegdheden.*? De regeling inzake de opsporingsbevoegd- 
heden is vanwege allerlei digitale ontwikkelingen in 2016 herzien met de Wet Di- 
gitale Recherche.#5 Deze herziening heeft geleid tot een aantal nieuwe opsporings- 
bevoegdheden, zoals de online infiltratie en de openlijke en heimelijke 


409 Artikel 39bis Belgisch WvSv heeft betrekking op het doorzoeken van een informaticasys- 
teem, ook op afstand. Dit is vergelijkbaar met de Nederlandse smartphone-bevoegdheid 
en de netwerkzoeking. 

410 Zie artikel 46sexies Belgisch WvSv. 

411 Zie artikel 89ter Belgisch WvSv. Deze bevoegdheid is bedoeld om een private plaats te 
treden en daar zoekend rond te kijken. Deze bevoegdheid is dus niet bedoeld ter inbe- 
slagneming. Dat geldt ook voor de digitale equivalent van de bevoegdheid. Tegelijkertijd 
laat deze bevoegdheid ook wel toe om gegevensdragers in beslag te nemen. 

412 Artikel 90ter Belgisch WvSv heeft betrekking op het met een heimelijk oogmerk onder- 
scheppen, kennis nemen van, doorzoeken en opnemen van niet voor het publiek toegan- 
kelijke communicatie of gegevens van een informaticasysteem of een deel ervan, of uit- 
breiden van het doorzoeken van een informatiesysteem of een deel daarvan, met techni- 
sche hulpmiddelen. De hackbevoegdheden kunnen alleen worden ingezet in uitzonder- 
lijke gevallen, als het onderzoek dit vereist, bij een ernstige aanwijzing van het bestaan 
van tevens een ernstig strafbaar feit. Voorts kan de maatregel alleen worden bevolen ten 
aanzien van communicatiemiddelen of informaticasystemen van personen op wie een 
verdenking rust of ten aanzien van de plaatsen waar de verdachte persoon vermoed 
wordt te vertoeven, dan wel ten aanzien van personen van wie op grond van precieze 
feiten vermoed wordt dat zij geregeld in verbinding staan met de verdachte. 

413 Wet 25 december 2016 houdende diverse wijzigingen van het Wetboek van Strafvorde- 
ring en het Strafwetboek, met het oog op de verbetering van de bijzondere opsporings- 
methoden en bepaalde onderzoeksmethoden met betrekking tot internet en elektronische 
en telecommunicaties en tot oprichting van een gegevensbank stemafdrukken, BS 17 ja- 
nuari 2017, 2738. 
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informaticazoekingen.*"* Over onder meer deze bevoegdheden heeft het Grond- 
wettelijk Hof zich in 2018 uitgelaten.*!> De belangrijkste conclusie is dat de herzie- 
ning grotendeels grondwettig is. Anders dan in Nederland kent het Belgische 
WvSv in het geheel geen regels over het gebruik van in de opsporing verkregen 
gegevens.#16 

Voor de analyse van in de opsporing verkregen gegevens vormt de Wet 
Verwerking Persoonsgegevens en de Wet op het Politieambt het belangrijkste juri- 
dische kader. Deze wetten bevatten — evenals de Nederlandse Wpg — algemene 
normen over de wijze waarop met persoonsgegevens moet worden omgegaan, on- 
der meer in het kader van de opsporing. 

De Wet Verwerking Persoonsgegevens is een algemene gegevensverwer- 
kingswet waarin zowel de AVG als de Richtlijn 2016/680 zijn geïmplementeerd. In 
het kader van dit onderzoek is vooral de tweede titel van de Wet Verwerking Per- 
soonsgegevens van belang. Deze titel komt overeen met de Nederlandse Wpg. Zo 
bevat deze titel een aantal definities, de algemene beginselen op basis waarvan de 
verwerking moet geschieden en de rechten van betrokkenen (verdachte, dader, ge- 
tuige) en de maatregelen die moeten worden getroffen om de gegevens te beveili- 
gen. Ook beschrijft deze titel de instelling van een nieuw Controleorgaan op de 
politionele informatie. Op dit controleorgaan gaan wij in § 5.3.4 nader in. 

De Wet op het Politieambt (Wpa) is de Belgische politiewet, vergelijkbaar 
met de Nederlandse politiewet. Deze wet regelt dan ook de taken en bevoegdhe- 
den van de Belgische politie. Voor wat betreft de politietaak wordt in België onder- 
scheid gemaakt tussen enerzijds de bestuurlijke politie en anderzijds de gerechte- 
lijke politie. De bestuurlijke politie houdt zich bezig met wat in Nederland de 
handhaving van de openbare orde wordt genoemd, terwijl de gerechtelijke politie 
zich vooral bezighoudt met de strafrechtelijke handhaving van de rechtsorde: het 
voorkomen en opsporen van strafbare feiten.*!” In de Wet op het Politieambt is ook 
aandacht besteed aan gegevensverwerking door de politie. Artikel 44/1 Wpa bevat 
een regeling inzake de verwerking van door zowel de gerechtelijke als de bestuur- 
lijke politie verkregen gegevens. Hierin staat onder meer dat de Belgische politie 


ten behoeve van haar taken gegevens mag verwerken, dat zij bepaalde databanken 


414 Zie hierover Yperman, Royer & Verbruggen 2019, p. 389-416 en het proefschrift van Co- 
nings (Conings 2017). 

415 GwH 6 december 2018, nr. 174/2018, ECLLBE:GHCC:2018:ARR.174. 

416 Vgl. Royer 2020, p. 400. Een uitzondering vormt hier het DNA-onderzoek waarover het 
Belgische WvSv wel regels kent. Zie voorts Koops, Conings & Verbruggen 2016, p. 120- 
122. 

417 Uit interviews met respondenten bleek dat het onderscheid in de praktijk steeds meer 
onder druk komt te staan. Zie ook Schuermans 2017, p. 717. 
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mag oprichten en dat zij de nodige beveiligingsmaatregelen moet treffen. De in- 
houd van deze bepalingen komt overeen met de Wpg. 

België kent drie verschillende databanken: de Algemene Nationale Gege- 
vensbank (ANG); de basisgegevensbanken (BGB’s) en de bijzondere gegevensban- 
ken (GBO). De ANG bevat zowel bestuurlijke als gerechtelijke informatie en is 
vooral bedoeld om personen te identificeren en om te voorkomen dat twee politie- 
diensten aan hetzelfde onderzoek werken zonder elkaars medeweten.‘!8 In de 
BGB’s worden gegevens opgeslagen voor de uitoefening van de aan de politie toe- 
bedeelde opdrachten en het gebruik van de daarin vervatte persoonsgegevens in- 
dien dat noodzakelijk is voor deze opdrachten. De gegevens in BGB’s zijn dus in 
beginsel alleen raadpleegbaar voor de politiediensten die ze erin hebben gezet. In 
uitzonderlijke omstandigheden en voor bijzondere behoeften kan tot slot een GBO 
worden opgericht? De wet maakt niet duidelijk wat een dergelijke GBO precies 


1S. 


5.3.2 Inhoud normering 
5.3.2.1 Doelbinding 


Voor wat betreft de regels inzake het gebruik van persoonsgegevens die in de op- 
sporing zijn verkregen kent Belgié weinig specifieke regels. De regels die in de Wet 
Verwerking Persoonsgegevens en de Wet op het Politieambt zijn te vinden, zijn 
sterk ingegeven door de Richtlijn 2016/680.*” In het Belgische recht is dan ook geen 
uitgebreide doctrine ontwikkeld op het gebied van doelbinding.*”! Sterker nog, Bel- 
gië kent maar één algemene bepaling op basis waarvan zowel de bestuurlijke als 
de gerechtelijke politie gegevens mag verwerken: artikel 44/1 Wpa. Deze bepaling 
luidt als volgt: 


“§ 1. In het kader van de uitoefening van hun opdrachten, bedoeld in hoofdstuk 
IIL, afdeling 1, en overeenkomstig de doeleinden omschreven in artikel 27 van de 
wet gegevensbescherming kunnen de politiediensten informatie en persoonsgege- 
vens verwerken voor zover deze laatste toereikend, terzake dienend en niet over- 
matig van aard zijn in het licht van de doeleinden van bestuurlijke en van 


418 Schuermans 2017, p. 722. 

419 Artikel 44/11/3 Wpa. 

420 Winter e.a. 2020, p. 35. 

421 Dit beeld wordt bevestigd door interviews die wij hebben gehouden met respondenten 
uit Belgié. 
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gerechtelijke politie waarvoor ze verkregen worden en waarvoor ze later verwerkt 


worden.” 


Op wettelijk niveau heeft de Belgische wetgever dus niet in aparte verwerkings- 
grondslagen voorzien voor de verschillende doelen waarvoor de politiegegevens 
mag verwerken. De opdrachten van de Belgische politie zijn — kort gezegd — de 
handhaving van de openbare orde alsmede het verlenen van bijstand en de straf- 
rechtelijke handhaving van de rechtsorde.#? De handhaving van de openbare orde 
alsmede het verlenen van bijstand wordt uitgeoefend door de bestuurlijke politie 
en de handhaving van de rechtsorde wordt uitgeoefend door de gerechtelijke po- 
litie. De gerechtelijke politie verwerkt dus persoonsgegevens met als doel de op- 
sporing van misdrijven, bewijsverzameling, het vatten van daders en terbeschik- 
kingstelling aan de rechter. Omdat deze opdrachten vrij ruim zijn geformuleerd, 
lijkt artikel 44/1 Wpa dan ook nauwelijks grenzen te stellen aan welke gegevens de 
Belgische politie al dan niet mag verwerken. Op een andere plaats in de Wpa heeft 
de wetgever de mogelijkheden tot verwerking van persoonsgegevens echter wel 
verder ingeperkt. Artikel 44/5 Wpa somt immers voor zowel de bestuurlijke als de 
gerechtelijke politie nader op welke categorieën van gegevens kunnen worden ver- 
werkt in de algemene gegevensbank of de basisgegevensbank. Opvallend aan deze 
bepaling is dat doelspecificatie hierin vooral heeft plaatsgevonden aan de hand van 
de personen over wie gegevens mogen worden verwerkt en niet zozeer — zoals in 
de Wpg gebruikelijk is -aan de hand van specifieke doelen binnen de taken van de 
politie.“ Zo maakt artikel 44/5 Wpa bijvoorbeeld duidelijk dat de gerechtelijke po- 
litie gegevens mag verwerken over onder meer verdachten, veroordeelden, getui- 


gen en slachtoffers. 
5.3.2.2 Onderzoek van bulkgegevens in België 


Het debat over de vergaring en verwerking van bulkgegevens is in België nog niet 
of nauwelijks op gang gekomen. De focus ligt op de normering van de vergaring 
in de wet, maar niet op het gebruik naderhand.#* De eerste zaak waarin bulkhac- 
king heeft plaatsgevonden is inmiddels wel voor de Belgische strafrechter 


422 Zie nader artikel 14 en 15 Wet op het Politieambt. Artikel 14 ziet op de bestuurlijke politie 
en artikel 15 op de gerechtelijke politie. 

423 In artikel 9 Wpg vindt doelspecificatie bijvoorbeeld vooral plaats aan de hand van het 
concrete doel van een opsporingsonderzoek. 

424 Zo bevestigen ook de drie verschillende respondenten uit België in de interviews. 
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verschenen en heeft tot een veroordeling geleid.” Wel is er in België discussie 
gaande over de toelaatbaarheid van dataretentie (er ligt thans een nieuw wetsvoor- 
stel) en in een recente uitspraak heeft het Hof van Cassatie nog geoordeeld dat 
telefoongegevens die door middel van dataretentie zijn verkregen niet uit het be- 


wijs hoeven te worden geweerd. 


53.3 Toezicht 


Anders dan in veel andere landen kent België een onafhankelijke toezichthouder 
op het gebied van gegevensverwerking die zich specifiek met de politie bezig- 
houdt: het Controleorgaan op politionele informatie (COC).*7 Dit controleorgaan 
is in 2018 opgericht en is belast met toezicht op de politionele informatiehuishou- 
ding.“ Voor 2018 bestond dit controleorgaan al wel, maar naar aanleiding van de 
Richtlijn 2016/680 zijn in 2018 de bevoegdheden van dit orgaan uitgebreid en is de 
titel van het orgaan aangepast.“ 

Dit controleorgaan heeft verschillende taken.# In het kader van het on- 
derhavige onderzoek is in het bijzonder relevant dat de COC zowel reactief (naar 
aanleiding van een klacht) als proactief controle uitoefent op de verwerking van 
informatie en persoonsgegevens in de politionele gegevensbanken“! Bij de uitoe- 
fening van deze taak houdt het controleorgaan niet alleen rekening met het recht 
op privacy en persoonsgegevensbescherming, maar ook met de belangen van ef- 
fectiviteit en efficiëntie. Het COC heeft dus een algemene toezichtsbevoegdheid op 


425https://www.vrt.be/vrtnws/nl/2022/03/25/eerste-veroordeling-in-sky-ecc-drugsdossier- 
ziekenhuismedewerks/#:~:text=Een%20voormalige%20ziekenhuismedewerk- 
ster%20uit%20Borgerhout,doorgespeeld%20aan%20het%20criminele%20mi- 
lieu.&text=De%20vrouw %20werkte%20als%20administratief, van %20Ziekenhuisnet- 
werk%20Antwerpen%20(ZNA. 

426 Zie in dit kader Hof van Cassatie van Belgié, 29 maart 2022, P.22.0078.N/1, https://justi- 
tie.belgium.be/sites/default/files/P.22.0078.N-29032022-dataretentie.pdf. 

427 Zie voor informatie https://www.controleorgaan.be/#. Zie hierover tevens kort het opi- 
niestuk van Schuermans 2020, Tijdschrift Privacy & Persoonsgegevens 2020/3. In dit onder- 
zoek is alleen dit specifieke toezichtsorgaan betrokken en is niet nader ingegaan op an- 


dere politionele toezichthouders zoals het Vast Comité van Toezicht op de politiedien- 
sten (beter bekend als: Comité P). 

428 Artikel 71 WVP. 

429 Voor 2018 werd de toezichthouder ‘Controleorgaan op de politionele informatie’ ge- 
noemd. 

430 Zie nader over deze taken Berkmoes, Controle op de politiediensten 2022, C47/55. Het COC 
houdt bijvoorbeeld ook toezicht op toepassing van de AVG door de politie. 

431 Zie nader 8 5.3.1. 
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alle operationele en niet operationele (persoons)gegevensverwerkingen door de 
politie.49? 

Ter uitoefening van haar taken heeft het COC ruime bevoegdheden. Zo 
heeft het controleorgaan een onbeperkt recht op toegang tot alle informatie en ge- 
gevens van de politiediensten die het controleert, kan het ter plaatse onderzoek 
uitvoeren en heeft het toegang tot alle plaatsen waar persoonsgegevens worden 
verwerkt. Overigens heeft de politie zelf ook een plicht om uit eigen beweging 
alle nuttige inlichtingen, instructies en andere interne documenten inzake het ver- 
werken van gegevens aan het controleorgaan ter beschikking te stellen. Ook kan 
het orgaan mensen horen indien zij dat noodzakelijk acht.#* Voorts heeft het COC 
een aantal vergaande sanctionerende bevoegdheden, die de AP in Nederland niet 
ter beschikking staan. Het controleorgaan kan onder meer politiediensten gelasten 
een verwerking in overeenstemming te brengen met de wet; een tijdelijke of defi- 
nitieve verwerkingsbeperking opleggen of eisen dat politiediensten gegevens rec- 
tificeren.#35 

Over het functioneren van het COC is weinig bekend. Wel heeft Van Brakel 
zich recent kritisch uitgelaten over dit orgaan. Zij meent dat het COC mede van- 
wege een gebrek aan geld en capaciteit onvoldoende in staat is toezicht te houden 
op het politionele gebruik van nieuwe technologieën zoals predictive policing.“6 


54 DUITSLAND 
54.1 Systematiek wettelijk kader 
5.4.1.1 Overzicht relevante wetgeving 


In Duitsland bestaat er uitgebreide wetgeving op het gebied van het gebruik van 
in de opsporing verkregen gegevens. Voor een goed begrip van deze wetgeving is 


432 Zie voor een voorbeeld waarin het COC het gebruik van drones door de politie beoor- 
deelt: DIO20009-1 RapportAdvies COC Drones 15.03.2022 N.pdf (controleorgaan. be) 
https://www.controleorgaan.be/files/DIO20009-1 RapportAdvies COC Drones 
15.03.2022 N.pdf. En een ander voorbeeld waarin de COC het gebruik van de Clearview 
gezichtsherkenningstechnologie in België controleert: Rapport (controleorgaan.be) 
https://www.controleorgaan.be/files/ _DIO21006 Toezichtrapport Clearview N 
00050443.pdf https://www.controleorgaan.be/files/DIO21006 _Toezichtrapport Clear- 
view N 00050443.pdf. 

433 Artikel 244 Wvp. 

434 Artikel 245 Wvp. 

435 Artikel 247 Wvp. 

436 Van Brakel 2020. 
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het belangrijk onderscheid te maken tussen de preventieve politietaak (Gefahrab- 
wehr) en de repressieve (Strafverfolgung).*? De preventieve politietaak bestaat on- 
der meer uit het preventief bestrijden van strafbare feiten en wordt genormeerd in 
de politiewetten van de zestien afzonderlijke Bundesländer (deelstaten).*® De re- 
pressieve politietaak ziet op de opsporing en vervolging van strafbare feiten nadat 
een strafbaar feit is gepleegd en is voornamelijk geregeld in het Duitse WvSv: Straf- 
prozessordnung (StPO). De StPO geldt op bondsniveau. Het onderscheid tussen Ge- 
fahrabwehr en Strafverfolgung bepaalt aldus welk juridisch kader van toepassing is. 
Voorts dient te worden gewezen op de Bundeskriminalamtgesetze (BKAG), waarin 
de taken en bevoegdheden van de federale politie nader zijn geregeld. De federale 
politie beschikt — evenals de politie in de afzonderlijke Länder — over preventieve 
bevoegdheden, maar is alleen actief op federaal niveau. Het Bundeskriminalamt 
houdt zich vooral bezig met deelstaatoverstijgende criminaliteit, zoals terrorisme 
en mensenhandel.#? 

Naast deze bijzondere wetten die specifiek zien op de verschillende poli- 
tionele autoriteiten kent Duitsland ook nog algemene gegevensverwerkingswet- 
ten, zowel op bonds- als op deelstaatniveau. Op bondsniveau geldt de Bundesda- 
tenschutzgesetz (BDSG), waarin zowel de AVG als de Richtlijn 2016/680 zijn geïm- 
plementeerd. Deze wet is vooral van belang voor de repressieve politietaak, zo 
volgt ook uit 8 500 lid 1 StPO. De BDSG staat in een generalis verhouding tot de 
StPO: de BDSG is alleen van toepassing indien in de StPO geen bijzondere regeling 
is getroffen.“ Voor wat betreft de preventieve politietaak geldt dat op deelstaatni- 
veau vaak algemene gegevensverwerkingswetten zijn ontwikkeld, waarop kan 
worden teruggevallen als de politiewetten niets regelen.**! 

In het vervolg van dit hoofdstuk richten wij ons specifiek op de StPO, de 
BDSG en de BKAG. De wetgeving op het gebied van de Länder blijft aldus buiten 
beschouwing. Niet alleen verschilt deze wetgeving per deelstaat, ook verschilt 
deze wetgeving op het niveau van uitgangspunten niet fundamenteel van de 
BKAG. 


437 Zie over dit onderscheid nader: Bleichrodt, Mevis & Volker 2011 p. 77-82. 

438 Zie ter illustratie § 1 lid 1 van de Polizeigesetze Nordrhein-Westfalen waarin nader is gede- 
finieerd wat onder Gefahrabwehr moet worden verstaan. 

439 Zie nader 8 2 Bundeskriminalamtgesetz. 

440 Singelnstein, Münchener Kommentar zur StPO, Auflage 2019, § 474, Rn. 6; BeckOK 
StPO/von Häfen 37, Auflage 2020, § 500, Rn. 5. 

441 Singelnstein 2020, p. 639. 
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5.4.1.2 Keuzes inzake de verkrijging en verwerking van gegevens in het strafrecht 


De wettelijke systematiek op het gebied van opsporingsonderzoek aan reeds ver- 
kregen gegevens is complex. Dat is in belangrijke mate het gevolg van de federale 
structuur en het onderscheid tussen Gefahrabwehr en Strafverfolgung. Niettemin laat 
de systematiek in Duitsland zien dat het niet zonder meer vanzelfsprekend is om 
de verwerking van gegevens buiten het WvSv te regelen. 

De StPO bevat — in tegenstelling tot het Nederlandse WvSv - een algemene 
regeling over het verwerken van in de opsporing verkregen gegevens.“ Boek 8 
van de StPO geeft algemene regels over gegevensverwerking door - kort gezegd - 
de rechterlijke macht en het openbaar ministerie. De regeling in dit boek valt te 
vergelijken met de Nederlandse Wjsg. Dit boek regelt verschillende onderwerpen, 
zoals de doelen waarvoor gegevens mogen worden verwerkt, doelafwijkend ge- 
bruik, bewaartermijnen, het delen van gegevens met derden, beveiliging van op- 
geslagen gegevens en rechtsbescherming. De belangrijkste reden om dit onder- 
werp in StPO te regelen, is het in Duitsland ontwikkelde recht op informationele 
zelfbestemming.“® Voor zover hier relevant houdt dit recht in — algemeen en kort 
gezegd — dat burgers de controle hebben over hun eigen persoonsgegevens. Dit 
recht is ontwikkeld als reactie op de risico’s die gepaard gaan met het verwerken 
van persoonsgegevens. In wezen vormt het recht op informationele zelfbestem- 
ming een van de grondslagen van het huidige gegevensbeschermingsrecht. Veel 
normen op het gebied van persoonsgegevensbescherming in de StPO vloeien 
rechtstreeks voort uit het recht op informationele zelfbestemming.““* 

Naast deze algemene bepalingen kent de StPO ook een aantal bijzondere 
bepalingen die specifiek in het kader van een of meer bijzondere opsporingsbe- 
voegdheden zijn ontwikkeld. Zo kent de StPO enkele bepalingen over het geauto- 
matiseerd vergelijken van in de opsporing verkregen gegevens. Het gaat om Ras- 
terfahndung (§ 98a-98b StPO) en het machinaal vergelijken van reeds vergaarde ge- 
gevens (§ 98c StPO).# “Rasterfahndung” is een methode waarbij de politie op ba- 
sis van vooraf opgestelde profielen reeds vergaarde gegevens onderzoekt, met als 


442 Boek 8 van de StPO. 

443 De grondslag van het recht op informationele zelfbeschikking gelegen in artikel 2 lid 1 
van het Duitse Grundgesetz (“Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, 
soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmüfsige Ordnung oder 
das Sittengesetz verstoft.”). Dit recht is voor het eerst erkend in Bundesverfassungsgericht 
(BVerfG) 15 februari 1983, BvR 209/83. 

444 Singelnstein, Münchener Kommentar zur StPO, Auflage 2019, § 474, Rn. 9. 

445 Over Rasterfahndung heeft het Bundesverfassungsgericht ook een belangwekkende uit- 
spraak gedaan. Zie BVerfG 4 april 2006 - 1 BvR 518/02. 
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doel om verdachten op het spoor te komen.“ “Rasterfahndung” is een methode 
die als zodanig niet is genormeerd in het Nederlandse recht. In geval van § 98c 
StPO gaat het om het vergelijken of doorzoeken van gegevens die reeds bij de po- 
litie aanwezig zijn. In dit kader is van belang op te merken dat deze bepaling enkel 
kan worden gebruikt voor lichte inbreuken op grondrechten; de toepassing van 
gezichtsherkenning waarbij ook gegevens moeten worden vergeleken, is bijvoor- 
beeld niet toelaatbaar op grond van deze bepaling.“ In Nederland is het vergelij- 
ken of doorzoeken van gegevens in de Wpg geregeld. 

Hiernaast bevat het StPO nog een aantal bepalingen waarin specifiek ei- 
sen worden gesteld aan de wijze waarop in de opsporing verkregen gegevens (ver- 
der) kunnen worden gebruikt. Op de inhoud van deze bepalingen wordt hieronder 
nader ingegaan. Deze bepalingen kennen enige overeenkomsten met artikel 126dd 
in het Nederlandse WvSv, waarin voor een aantal opsporingsbevoegdheden is ge- 
regeld hoe gegevens in een andere strafzaak of jegens andere personen kunnen 
worden gebruikt. 

Voor alles dat niet in StPO is geregeld, geldt de BDSG. In § 45 e.v. BDSG 
zijn regels te vinden over verwerking van in de opsporing verkregen gegevens. 
Evenals de Nederlandse Wpg maakt deze wet eerst duidelijk wanneer de wet van 
toepassing is en worden enkele belangrijke definities gegeven.” De kern van deze 
regeling is neergelegd in 47 BDSG. Deze bepaling behelst de algemene beginselen 
inzake persoonsgegevensverwerking. Deze bepaling bevat geen bijzonderheden. 
Voor wat betreft de formulering van deze beginselen is goeddeels herhaald wat in 
de Richtlijn 2016/680 is opgenomen.*® 

Tot slot verdient hier de BKAG vermelding. Deze wet regelt onder meer 
de bevoegdheden van het Bundeskriminalamt. Ook bevat deze wet in 8 12 en verder 
regels over de wijze waarop het Bundeskriminalamt gegevens mag verwerken. Op 


de inhoud van deze regels wordt hieronder nader ingegaan. 


54.2 Inhoud normering 


5.4.2.1 Doelbindingsbeginsel 
In Duitsland is een uitgebreide doctrine ontwikkeld omtrent het doelbindingsbe- 


ginsel en de mogelijkheden tot doelafwijkend gebruik. Voor wat betreft de 


446 MüKoStPO/Günther, 1, Auflage 2014, StPO § 98a Rn. 1. 

447 BeckOK StPO/Gerhold, 43, Auflage 2022, StPO § 98c, Rn. 1. 

448 Dit uitgangspunt is ook gecodificeerd in § 500 StPO. 

449 § 45 en 46 BDSG. 

450 Veel van deze beginselen vloeien in Duitsland ook al voort uit andere grondrechten, zoals 
het recht op informationele zelfbestemming. Zie Singelnstein 2020, p. 640. 
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verwerking van gegevens die in de opsporing (Strafverfolgung) zijn verkregen, zijn 
de StPO en de BDSG van belang. 

In de BDSG is gecodificeerd wat het doelbindingbeginsel inhoudt, als- 
mede in welke gevallen en met inachtneming van welke eisen doelafwijkend ge- 
bruik van gegevens is toegestaan. 8 47 lid 2 BDSG codificeert het doelbindingsbe- 
ginsel. Voor wat betreft de formulering van deze bepaling is aansluiting gezocht 
bij de Richtlijn 2016/680. Deze bepaling kent dan ook geen bijzonderheden. In § 49 
BDSG is bepaald dat doelafwijkend gebruik van eerder verkregen gegevens moge- 
lijk is, indien aan bepaalde voorwaarden is voldaan. Zo moet de doelafwijking 
worden voorzien van een wettelijke grondslag, moet dat andere doel genoemd zijn 
in § 45 BDSG en moet de doelafwijking proportioneel zijn. Ook 8 49 BDSG kent 
geen bijzonderheden, nu deze bepaling vrijwel letterlijk herhaalt wat reeds in arti- 
kel 4 lid 2 Richtlijn 2016/680 staat. Wel bestaat er in de Duitse literatuur discussie 
over de uitleg die aan 8 49 BDSG moet worden gegeven. Omdat voor de formu- 
lering van § 49 BDSG aansluiting is gezocht bij de Richtlijn 2016/680, is niet duide- 
lijk of de in 8 45 BDSG geformuleerde doelen reeds als doelspecificatie hebben te 
gelden of dat de politie binnen deze doelen een en ander nog verder moet specifi- 
ceren.*! 

De BDSG is te beschouwen als een kaderwet. De wet schetst aldus waar- 
aan moet zijn voldaan, maar bevat zelf geen grondslagen op basis waarvan gege- 
vens kunnen worden verwerkt? Deze specifieke grondslagen zijn voor wat be- 
treft de opsporing in de StPO te vinden. 

Conform het doelbindingsbeginsel in 8 47 BDSG is in de StPO het uit- 
gangspunt dat in de opsporing vergaarde gegevens alleen mogen worden gebruikt 
in de strafzaak waarvoor ze zijn vergaard.**> Als de vergaarde gegevens voor an- 
dere doelen worden gebruikt, bijvoorbeeld in een andere strafzaak of in het kader 
van een andere taak zoals Gefahrabwehr, dan betekent dit dat opnieuw inbreuk 
wordt gemaakt op het grondrecht van informationele zelfbestemming. Deze in- 
breuk moet zelfstandig worden gerechtvaardigd, onder meer door een (specifieke) 
wettelijke grondslag. 

Omdat in het Duitse recht al snel sprake is van doelafwijkend gebruik, 
zijn in de StPO verschillende grondslagen te vinden op basis waarvan in de opspo- 


ring verkregen gegevens voor andere doeleinden mogen worden gebruikt.#* Voor 


451 Heckmann/Scheurer, 13. Aufl. 2019, BDSG § 49 Rn. 5-8. 

452 Vgl. ook met betrekking § 49 Gola/Heckmann/Heckmann/Scheurer BDSG, 13. Aufl. 2019, § 
49 Rn. 12. 

453 Singelnstein, NStZ 2020, p. 641. 

454 Singelnstein, NStZ 2020, p. 641. 
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een goed begrip van deze bepalingen moet onderscheid worden gemaakt tussen 
enerzijds het vergaren van gegevens met bijzondere opsporingsbevoegdheden die 
in de regel (diep) ingrijpen in een of meer grondrechten en anderzijds het vergaren 
van gegevens met ‘lichte’ bevoegdheden die niet of nauwelijks ingrijpen in grond- 
rechten. Bijzondere opsporingsbevoegdheden zijn in het Duitse strafprocesrecht 
bevoegdheden die alleen zijn toegestaan ter opsporing van bepaalde strafbare fei- 
ten die in de catalogus zijn opgenomen (Katalogstraftaten/ Katalogtaten). 

Voor wat betreft de ‘lichte’ bevoegdheden geldt dat de verkregen gege- 
vens weliswaar voor een specifiek doel worden verwerkt, maar dat doelafwijkend 
gebruik ruimschoots is toegestaan. De paragrafen 474 en 477 StPO zien bijvoor- 
beeld op het gebruik van gegevens in andere strafzaken dan waarin ze zijn verza- 
meld en § 161 lid 1 alsmede 163 lid 1 StPO regelen het gebruik van gegevens in het 
strafproces die voor andere doelen, bijvoorbeeld de Gefahrabwehr, zijn verzameld. 
Deze bepalingen zijn algemeen en stellen dan ook niet of nauwelijks eisen aan de 
doelafwijking. Zo staat in 8 474 en § 477 StPO - kort gezegd - geregeld dat de rech- 
terlijke macht en het openbaar ministerie kennis mogen nemen van in de opsporing 
verkregen gegevens indien dat noodzakelijk is voor hun taakoefening. 

Voor bijzondere opsporingsbevoegdheden ligt een en ander genuanceer- 
der. Het uitgangspunt is hier dat gegevens die met deze bevoegdheden zijn ver- 
kregen in beginsel alleen mogen worden gebruikt voor het doel waarvoor de be- 
voegdheid is ingezet. Doelbinding wordt dus, met andere woorden, strikter uitge- 
legd als het gaat om bijzondere opsporingsbevoegdheden. De consequentie hier- 
van is dat doelafwijkend gebruik slechts in bepaalde gevallen is toegestaan. Op 
verschillende plekken in de StPO keert deze toets dan ook terug in het kader van 
verschillende bijzondere opsporingsbevoegdheden.*® Ter illustratie wordt hier ge- 
wezen op § 479 lid 2, eerste volzin, StPO, waarin is bepaald dat gegevens die met 
bijzondere opsporingsbevoegdheden zijn verkregen alleen dan in andere strafza- 
ken als bewijs mogen worden gebruikt als de ingezette opsporingsbevoegdheid 
ook in die andere strafzaak had mogen worden ingezet. De hier beschreven toets, 
waarbij moet worden nagegaan of de bevoegdheid ook in de strafzaak waarin men 
gebruik wil maken van de gegevens mocht worden ingezet, staat beter bekend als 
hypothetische Datenneuerhebung. Deze toets is door het Bundesverfassungsgericht 


455 Zie onder meer 8 161 lid 3 StPO; 8 100e lid 6 StPO alsmede 8 479 lid 2, tweede volzin 
StPO. 

456 Het antwoord op de vraag of de verkregen gegevens als startinformatie mogen worden 
gebruikt, wordt niet bepaald door 8 479 lid 2, eerste volzin, StPO maar door de algeme- 
nere bepalingen in § 474 en 477 StPO. Zie daarover Singelnstein 2020, NStZ 2020, p. 642. 
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ontwikkeld en speelt in het kader van diep in het privéleven ingrijpende opspo- 
ringsbevoegdheden een belangrijke rol.457 

Naast het StPO en de BDSG zijn ter Gefahrabwehr de politiewetten van de 
verschillende Länder en de BKAG van belang voor de normering van door de poli- 
tie verkregen gegevens. In het vervolg van deze paragraaf wordt kort ingegaan op 
de wijze waarop invulling is gegeven aan het beginsel van doelbinding in de 
BKAG. In § 12 BKAG is geregeld op welke wijze het Bundeskriminalamt gegevens 
(verder) mag verwerken. 

Het uitgangspunt is dat door het Bundeskriminalamt verzamelde gegevens 
mogen worden gebruikt voor de doelen waarvoor ze zijn verkregen, ter bescher- 
ming van dezelfde rechtsbelangen als waarvoor ze zijn verkregen of voor de ver- 
volging en preventie van dezelfde strafbare feiten als waarvoor ze zijn verkre- 
gen.^8 Doelbinding wordt in dit geval dus niet zo streng uitgelegd dat gegevens 
alleen mogen worden gebruikt voor het doel waarvoor ze zijn verzameld. De ge- 
gevens mogen ook voor vergelijkbare doelen of ter preventie van vergelijkbare 
strafbare feiten worden gebruikt. Een en ander ligt anders voor de verdere verwer- 
king van gegevens die met het afluisteren in een woning en hacken zijn vergaard. 
Hiervoor geldt dat verdere verwerking van met deze bevoegdheden verkregen ge- 
gevens alleen is toegestaan als dat noodzakelijk en in overeenstemming is met de 
voorwaarden voor het verkrijgen van gegevens.*”® Verdere verwerking van gege- 
vens die met de hackbevoegdheid zijn verworven is bijvoorbeeld alleen toegestaan 
als er sprake is van gevaar voor het lichaam, leven of vrijheid van een persoon. In 
dit geval wordt doelbinding dus zeer streng uitgelegd. Als dit gevaar niet meer 
bestaat, mogen de gegevens niet meer verder worden verwerkt. 

Voorts regelt § 12 lid 2 BKAG doelafwijkend gebruik. In deze bepaling 
keert de toets inzake hypothetische Datenneuerhebung terug. Bovendien gelden met 
betrekking tot het gebruik van gegevens die met afluisteren in een woning alsmede 


het hacken van een computer zijn verkregen weer verzwaarde eisen. 


5.4.2.2 Verwerking van bulkdata in Duitsland 


In Duitsland is net als in Nederland veel rechtspraak over het verder verwerken 
van de op een in Frankrijk gesitueerde EncroChat server verkregen gegevens. In 


457 In 8 100e lid 6 StPO waarin een regeling is getroffen voor het gebruik van gegevens die 
zijn verkregen met bijvoorbeeld hacken wordt deze toets ook aangelegd. 

458 § 12 lid 1 BKAG. 

459 Zie in dit verband ook de door het Bundesverfassungsgericht geformuleerde eisen: 
BVerfG 20 april 2016, ECLI:DE:B Verf G:2016:r5201 60420. lbvr096609. 
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Duitsland heeft de hoogste rechter op het gebied van het strafrecht (Bundesgerichts- 
hof) zich ook reeds uitgelaten over de rechtmatigheid van het gebruik van En- 
croChat-data voor bewijs.“ Kort gezegd oordeelde het BGH dat de in Frankrijk 
verkregen gegevens in het Duitse strafprocesrecht mogen worden gebruikt, omdat 
de rechtmatigheid van het onderzoek in Frankrijk in beginsel moet worden erkend. 
Voorts is ook niet gebleken dat er sprake is van bewijsverkrijging in strijd met fun- 
damentele rechten. De zaak kan nog wel aan het Bundesverfassungsgericht worden 
voorgelegd. 

De argumentatie van het BGH, die ook in eerdere uitspraken van lagere 
rechters is te vinden, is niet zonder kritiek gebleven“! Singelnstein en Derin beto- 
gen bijvoorbeeld dat de vraag of de gegevens kunnen worden gebruikt in het 
Duitse strafprocesrecht moet worden beoordeeld aan de hand van de hypothetische 
Datenneuerhebung die onder meer in art. 100e lid 6 StPO is neergelegd. Op basis van 
deze toets moet de vraag worden gesteld of de methode die in Frankrijk is ingezet 
ook in de Duitse strafzaak waarin men het bewijs wil gebruiken ingezet had mogen 
worden. Singelnstein en Derin menen van niet, omdat het StPO grootschalige hack- 


operaties, waarbij veel personen subject van onderzoek worden, niet toestaat. 


543 Toezicht 


Op het gebied van toezicht kent Duitsland veel overeenkomsten met Nederland. 
Naast strafvorderlijke actoren (strafrechter, onderzoeksrechter) kent Duitsland 
verschillende gegevensbeschermingsautoriteiten die toezicht houden op de gege- 
vensverwerking door politie en justitie.4? Op de verwerking van gegevens door 
het Bundeskriminalamt houdt de algemene, federale gegevensbeschermingsautori- 
teit toezicht.4 Als deze autoriteit overtredingen van de BKAG vaststelt, kan het 
passende maatregelen treffen zonder dat nader is geconcretiseerd wat hieronder 
moet worden verstaan. Voorts verplicht de BKAG — conform de Richtlijn 2016/680 


— ertoe om een functionaris gegevensbescherming aan te stellen.“ 


460 BGH 25 maart 2022, ECLI:DE:BGH:2022:020322B5STR45. 

461 Derin & Singelnstein 2021. 

462 Op het niveau van de Länder bestaat ook een gegevensbeschermingsautoriteit. 
463 § 69 BKAG. 

464 § 70 BKAG. 
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5.5 NOORWEGEN 


Noorwegen is weliswaar geen EU-lidstaat, maar heeft als ‘Schengenland’ de Richt- 
lijn 2016/680 geïmplementeerd in de politiedatabankenwet (Politiregisterloven).4° 


5.5.1 Systematiek wettelijk kader 


In Noorwegen is voor wat betreft de politie onderscheid gemaakt tussen de politie 
(Politi- og lensmannsetaten) die zich bezig houdt met het opsporen van strafbare fei- 
ten en de politieveiligheidsdienst (Politiets sikkerhetstjeneste) die zich specifiek richt 
op het voorkomen en onderzoeken van bepaalde specifieke strafbare feiten die de 
onafhankelijkheid van Noorwegen kunnen bedreigen, onrechtmatige afluister- 
praktijken, proliferatie van wapens, politiek gemotiveerd geweld en terrorisme.46 
De politieveiligheidsdienst is dus veeleer te beschouwen als een inlichtingendienst, 
vergelijkbaar met de Nederlandse AIVD.47 Belangrijk verschil is evenwel dat de 
politieveiligheidsdienst ook handhavende bevoegdheden heeft, terwijl de AIVD 
niet over dergelijke bevoegdheden beschikt. De tweedeling tussen de repressieve 
en preventieve politie keert ook terug in de Noorse wet. Voor de repressieve poli- 
tietaken vormt het Noorse WvSv (Straffeprosessloven)*®® het belangrijkste kader en 
de preventieve politietaak is voornamelijk in de Noorse politiewet geregeld (Poli- 
tiloven).4° Zowel het Noorse WvSv als de Noorse Politiewet bevatten op een enkele 
uitzondering na enkel bevoegdheden ter vergaring van gegevens.*” Artikel 216g 
Straffeprosessloven is bijvoorbeeld een uitzondering, nu hierin is bepaald dat opna- 


men en aantekeningen die tijdens het opnemen van communicatie 


465 Lov om behandling av opplysninger i politiet og patalemyndigheten (politiregisterlo- 
ven), van 28 mei 2010, nr. 16, (voor het laatst aangepast op 21 juni 2019, nr. 50). Deze wet 
is beschikbaar in een Engelse versie, Act relating to the processing of data by the police 
and the prosecuting authority (the Police Databases Act). Beschikbaar via: https://lov- 
data.no/dokument/NLE/lov/2010-05-28-16. 

466 Art. 17b Politiloven. 

467 Zie hierover uitgebreid het proefschrift van Bruce 2021. 

468 Lov om rettergangsmaten straffesaker (Straffeprosessloven), LOV-1981-05-22-25. Beschik- 
baar via: https://lovdata.no/dokument/NL/lov/1981-05-22-25?q=Straffeprosessloven. 
469 Zie Regulation of the Criminal Investigational Responsibilities and Prosecutorial Com- 
petence of the Police Security Service (2007) and Guidelines by the Norwegian Director 

of Public Prosecutions on Criminal Investigations (1999). 

470 Zie bijvoorbeeld ook de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 
108 (2008-2009), hoofdstuk 9 (https://www.regjeringen.no/no/dokumenter/otprp-nr-108- 
2008-2009-/id572473/?ch=9#kap9-6), par. 9.6.4.1 waarin de minister stelt dat het Noorse 
WvSv niet is ontworpen met het oog op het normeren van de verwerking van gegevens 
zoals deze in latere privacywetgeving is geregeld. 
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(communication control’) zijn gemaakt zo snel mogelijk moeten worden vernie- 
tigd in zoverre dat deze opnamen of aantekeningen niet van belang zijn voor de 
preventie op opsporing van strafbare feiten. 

Voor de verwerking van gegevens vormt de politiedatabankenwet (Poli- 
tiregisterloven) het belangrijkste juridische kader”! In deze wet is geregeld of, en 
zo ja, op welke wijze de Noorse politie gegevens mag verwerken. Deze wet bevat 
dus regels voor de reguliere politie alsmede de politieveiligheidsdienst.7? Deze 
wet kent enige gelijkenis met de Nederlandse Wpg. Verschil is evenwel dat de wet 
niet van toepassing is op de verwerking van gegevens in verband met bestuurlijke 
activiteiten van de reguliere politie of civiele taken van de politiediensten (art. 3 
Politiregisterloven).#75 


5.5.2 Inhoud normering 


5.5.2.1 Politiedatabankenwet 


De Politiregisterloven was oorspronkelijk gebaseerd op het Kaderbesluit 
2008/977/JIS van de Raad van 27 november 2008 betreffende de bescherming van 
persoonsgegevens in verband met politiële samenwerking en justitiële samenwer- 
king in strafzaken. Om de regels in overeenstemming te brengen met Richtlijn 
2016/680, is de wet in 2017 licht gewijzigd.#”* Nadere regels betreffende de infor- 
matieverwerking bij de politie en justitie worden in het Reglement politieregister 
(Politiregisterforskriften) voorzien.4”5 

De Politiregisterloven heeft het doel om enerzijds bij te dragen aan een ef- 
fectieve taakuitoefening door politie en justitie en anderzijds de privacy en voor- 


spelbaarheid van de verwerking van gegevens voor het individu te waarborgen 


471 Police Register Act (“Politiregisterloven”) van 28 mei 2010, nr. 16, (voor het laatst aange- 
past op 21 juni 2019, nr. 50). 

472 Hoofdstuk 11 Politiregisterloven. 

473 Bestuurlijke taken betreffen bijvoorbeeld paspoort-, wapen-, rijbewijs- en immigratiebe- 
heerstaken en controle op beveiligingsactiviteiten en onder civiele taken worden taken 
begrepen die niet politietaken of bestuurlijke taken betreffen, zoals interne administratie 
en aanschaf van apparatuur en deurwaardersactiviteiten (zie bv. art. 9-5 Reglement poli- 
tieregister). Op deze activiteiten van de politie zijn de Wet persoonsgegevens (Wet van 
15 juni 2018 nr. 38) en de AVG (EU 2016/679) van toepassing. Zie ook het (vooralsnog 
beperkte) commentaar op de wet Karnov 2022. 

474 Zie ook het commentaar op de wet Karnov 2022. 

475 Forskrift om behandling av opplysninger i politiet og patalemyndigheten (Politiregister- 
forskriften), FOR-2013-09-20-1097 (https://lovdata.no/dokument/SF/forskrift/2013-09-20- 
1097/*). 
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(art. 1 Politiregisterloven). Artikel 4 Politiregisterloven stipuleert dat gegevens mogen 
worden verwerkt voor de doelen waarvoor ze zijn vergaard alsmede andere poli- 
tiedoeleinden, tenzij bij of krachtens de wet is bepaald dat het recht om gegevens 
te verwerken beperkt is of dat de gegevens mogen worden verwerkt voor andere 
doelen dan politiedoelen.#* Onder politiedoeleinden verstaat de wet activiteiten 
van de politie ter bestrijding van criminaliteit, met inbegrip van opsporing en pre- 
ventiemaatregelen, en de dienst en de hulpverleningsfuncties van de politie en het 
bijhouden van politielogboeken.#7 Bij de totstandkoming van de wet is gediscus- 
sieerd over de vraag hoe specifiek het doel van de verwerking van gegevens in de 
wet moet worden opgenomen. In het bijzonder was de vraag of de taak van de 
politie als één verwerkingsdoel is te bestempelen, of dat de afzonderlijke taken van 
de politie ook afzonderlijke verwerkingsdoelen vormen, zodat de politietaak uit 
meerdere verwerkingsdoelen bestaat. Het laatste uitgangspunt wordt gehanteerd, 
wat inhoudt dat de opsporing, preventie, rechtsordehandhaving, de dienstfunctie, 
de hulpfunctie en het bijhouden van dienstadministratie als afzonderlijke verwer- 
kingsdoelen worden aangemerkt. Het gevolg van deze benadering is dat sprake is 
van doelafwijkend (‘secundair’) gebruik van gegevens wanneer gegevens voor een 
ander doel binnen deze opsomming worden gebruikt.#7% 

Volgens het commentaar op artikel 4 Politiregisterloven biedt deze bepa- 
ling veel ruimte voor het vrij gebruiken van gegevens binnen de verschillende po- 
litiedoeleinden (free flow of information). Zo kunnen gegevens verkregen in het ka- 
der van misdaadbestrijding worden gebruikt voor administratieve politietaken.#” 
Artikel 4 Politiregisterloven bevat zelf twee uitzonderingen op de hoofdregel: (1) 
indien de wet de verwerking van gegevens beperkt, of (2) indien de wet een doel- 
afwijkend (in de zin dat gegevens voor niet-politiedoeleinden worden verwerkt) 
gebruik van gegevens juist toestaat. Artikel 4 dient in samenhang met artikel 5 


476 Beperkingen zijn bijvoorbeeld te vinden in art. 5 lid 2 Politiregisterloven of art. 216i WvSv. 
Wat betreft de ruimte om gegevens voor andere doelen dan politiedoelen te verwerken 
verwijst de wet in art. 29, 30 en 31 zelf naar de mogelijkheid om gegevens die voor poli- 
tiedoeleinden zijn verkregen te gebruiken voor administraties van politie, openbare li- 
chamen of particulieren in hun belang. Tevens mogen gegevens met toestemming voor 
andere doeleinden worden gebruikt. Zie Peters, commentaar op artikel 4 Politiregister- 
loven. 

477 Art. 2 onder 13 (“Police purposes: (a) the police’s activities against crime, including in- 
vestigation, preventive efforts and the activities of the uniformed service, and (b) the po- 
lice’s service and assistance functions and keeping of police logs”) 

478 Zie de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 108 (2008-2009), 
(https://www.regjeringen.no/no/dokumenter/otprp-nr-108-2008-2009- 
[id572473/?ch=9#kap9-6), par. 9.2 (doelbinding). 

479 Zie Peters, commentaar op artikel 4 PRA (http://www.rettsdata.no). 
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Politiregisterloven te worden gelezen. In artikel 5 Politiregisterloven is het noodzake- 
lijkheidsbeginsel neergelegd. 

Artikel 5 Politiregisterloven stelt voorop dat gegevensverwerking alleen 
mag plaatsvinden indien dit noodzakelijk is met het oog op de in artikel 4 Politire- 
gisterloven neergelegde doeleinden. Hoewel het noodzakelijkheidsvereiste in de 
wet alleen aan het doel gekoppeld is, geldt de eis ingevolge artikel 4 Politiregister- 
forskriften voor alle onderdelen van een gegevensverwerking, inclusief de beoorde- 
ling welke informatie moet worden geregistreerd, welke personen toegang hebben 
tot de informatie en hoe lang de informatie moet worden opgeslagen. Wat nood- 
zakelijk is, hangt af van een specifieke beoordeling in het concrete geval. Het nood- 
zakelijkheidsbeginsel bevat een proportionaliteitstoetsing waarbij het doel van de 
gegevensverwerking, de aard van de gegevens, of de verwerking ernstige of min- 
der ernstige criminaliteit betreft en het aantal personen dat toegang heeft tot gege- 
vens relevant zijn. Artikel 4 lid 3 van de Politiregisterforskriften bepaalt voorts dat 
wanneer Politiregisterloven of Politiregisterforskriften voorschrijven dat gegevensver- 
werking strikt noodzakelijk moet zijn, de verwerking alleen mag plaatsvinden 
wanneer deze de enige mogelijkheid is om het doel van de verwerking te bereiken 
of als er toestemming voor de verwerking voorhanden is. De eis van strikte nood- 
zakelijkheid geldt bijvoorbeeld voor allerlei ‘gevoelige’ gegevens (art. 7 Politiregis- 
terloven). 

Voorts staat in artikel 5 Politiregisterloven hoe het noodzakelijkheidsbegin- 
sel moet worden uitgelegd in het kader van opsporing. Artikel 5 lid 1 Politiregister- 
loven stelt dat de vraag naar noodzakelijkheid primair wordt bepaald door het 
Noorse WvSv. Het Noorse WvSv regelt aldus in welke gevallen, voor welke doelen 
en op welke wijze gegevens mogen worden verwerkt in het kader van de opspo- 
ring.**! Daartoe voorziet het Noorse WvSv in verschillende opsporingsbevoegd- 
heden. Verder bevat het Noorse WvSv een aantal bepalingen over het hergebruik 
of doelafwijkend gebruik van met opsporingsbevoegdheden verkregen gegevens. 
Zo is in artikel 216i Straffeprosessloven bepaald dat gegevens die door tappen zijn 
verkregen mogen worden gebruikt in een andere strafzaak dan de zaak waarin de 
bevoegdheid is ingezet. Ook indien de strafvorderlijke bevoegdheid niet zou kun- 
nen worden toegepast in deze andere strafzaak is dit het geval, mits het gebruik 
niet disproportioneel is en het gebruik van de gegevens een substantiële bijdrage 


480 Art. 4 lid 2 Politiregisterforskriften. 

481 Zie nader ook de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 108 
(2008-2009), (https://www.regjeringen.no/no/dokumenter/otprp-nr-108-2008-2009- 
[id572473/?ch=9#kap9-6), par. 9.3 (de eis van noodzakelijkheid). 
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levert aan de oplossing van de tweede zaak.## Naast deze specifieke bepalingen 
die zijn toegespitst op een of enkele bevoegdheden inzake doelafwijkend gebruik, 
bevat artikel 5 lid 2 Politiregisterloven een meer algemene regeling voor doelafwij- 
kend gebruik. In deze bepaling is neergelegd dat gegevens die met bijzondere op- 
sporingsbevoegdheden zijn verkregen ook mogen worden verwerkt buiten het ka- 
der van het onderzoek waarvoor de bevoegdheid is ingezet. Wel stelt de wet hier- 
aan de voorwaarde dat alleen van bepaalde categorieën personen gegevens mogen 
worden verwerkt, te weten: (1) personen die in georganiseerd verband strafbare 
feiten begaan of van wie het vermoeden bestaat, op basis van objectieve redenen, 
dat zij strafbare feiten zullen begaan; (2) personen die een bijzondere band hebben 
met onder (1) genoemde personen, zoals familie, vrienden, collega’s indien kan 
worden aangenomen dat de band van betekenis is voor het vermogen van de po- 
litie om toezicht te houden op de onder (1) genoemde activiteiten;*® (3) personen 
die slachtoffer zijn van strafbare feiten of waarvan het aannemelijk is dat zij dat 
kunnen worden; of (4) informanten.“* Hoewel deze lijst uitputtend is, is daarmee 
niet gezegd dat verwerking van gegevens van personen buiten deze vier catego- 
rieën niet is toegestaan op grond van toestemming.“ Niettemin achtte de Noorse 


minister het aangewezen om met het oog op de voorzienbaarheid van de wettelijke 


482 Zie ook Peters, commentaar bij 4 PRA (http://www.rettsdata.no). 

483 Art. 47-4 Politiregisterforskriften. 

484 Data may only be processed when this is necessary for such purposes as are mentioned 
in section 4. Moreover, the following limitations apply: 
1) In an individual criminal case, data may be processed in accordance with the provi- 
sions of the Criminal Procedure Act. 
2) The processing of personal data shall be permitted for the purpose of combating crime 
beyond the scope of the individual criminal case if the person in question 
a) is associated with a group whose activities largely consist of committing criminal of- 
fences, or who may be assumed, on the basis of other objective grounds, to commit such 
offences. This applies even if the person is below the age of criminal responsibility or the 
personal conditions for criminal liability are otherwise not satisfied 
b) has a special connection with such persons as are mentioned in (a), 
c) has been, or is likely to be, the victim of a criminal offence, or 
d) is an informant 
d) also applies in criminal cases. 
3) For such police purposes as are mentioned in section 2, sub-section 13(b), processing 
of data, including data relating to persons who present a special security risk, may extend 
beyond the purpose of the activity in order to ensure the safety of an individual. 

485 Zie nader ook de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 108 (2008- 
2009), (https://www.regjeringen.no/no/dokumenter/otprp-nr-108-2008-2009-/id572473/ 


2ch=9#kap9-6), par. 9.3.5. 
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regeling in de wet vast te leggen van welke personen gegevens kunnen worden 
verwerkt buiten het kader van een concreet opsporingsonderzoek.*6 

Artikel 6 Politiregisterloven bepaalt verder dat gegevens die worden verwerkt (1) 
adequaat en relevant voor het doel van verwerking moeten zijn; (2) accuraat en up- 
to-date moeten zijn en (3) niet langer dan noodzakelijk voor het doel mogen wor- 
den bewaard. 

Interessant is voorts artikel 8 Politiregisterloven, dat een tijdsgebonden uit- 
zondering bevat op het doelbindingsbeginsel, de eis van noodzakelijkheid en de 
eis van relevantie.#? Gegevens die de politie ontvangt buiten de kaders van een 
concreet strafrechtelijk onderzoek kunnen ingevolge artikel 8 Politiregisterloven 
voor vier maanden worden verwerkt teneinde te bepalen of aan de eisen van doel- 
binding, noodzakelijkheid en relevantie wordt voldaan. Deze bepaling vormt een 
uitzondering op de kwaliteitseisen die de wet aan gegevens stelt.488 De gegevens 
moeten zo snel mogelijk worden verwerkt om deze te verwijderen of om te ver- 
werken op een wettelijke grondslag anders dan artikel 8 Politiregisterloven. De tijd- 
limiet van vier maanden is absoluut,‘ maar niet van toepassing op gegevensver- 
werking in individuele strafzaken.“ 

Artikel 8 is volgens de Noorse wetgever bedoeld om gegevens te verwer- 
ken, ondanks dat niet voldaan is aan de algemene voorwaarden voor de verwer- 
king onder Politiregisterloven. Omdat een dergelijke verwerking van gegevens, met 
name buiten een individuele strafzaak, vanuit het oogpunt van privacybescher- 
ming “twijfelachtig” is, stelt de wet duidelijke grenzen aan deze verwerking”! 
Hoewel de politie op grond van deze bepaling in principe alle gegevens kan regi- 
streren, biedt artikel 8 volgens de wetgever geen ‘open volmacht’ om alle informa- 
tie te registreren die de politie mogelijk ontvangt. Wanneer duidelijk is dat gege- 


vens niet van belang zijn voor het werk van de politie, mogen deze gegevens ook 


486 Zie nader ook de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 108 
(2008-2009), (https://www.regjeringen.no/no/dokumenter/otprp-nr-108-2008-2009- 
[id572473/?ch=9#kap9-6), par. 9.3.5. 

487 Zie nader de wetshistorische informatie over Politiregisterloven, Ot. Prp. Nr. 108 (2008- 
2009), par. 9.6.2. Beschikbaar via: https://www.regjeringen.no/no/dokumenter/otprp-nr- 
108-2008-2009-/id572473/?ch=9#kap9-6. 

488 Zie nader de wetshistorische informatie over Politiregisterloven, hoofdstuk 9. 

489 Bij het bepalen van een geschikte tijdslimiet verwijst de Noorse wetgever naar de Neder- 


landse regeling. Zie nader de wetshistorische informatie over Politiregisterloven, par. 
9.6.4.4. 

490 Ingevolge art. 50 Politiregisterloven zullen gegevens niet langer dan noodzakelijk voor ver- 
werking worden bewaard. 

491 Zie de wetshistorische informatie over Politiregisterloven, par. 9.6.2. 

491 Zie nader de wetshistorische informatie over Politiregisterloven, par. 9.6.4.2. 
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niet worden vastgelegd“? De bepaling is geschreven met het oog op door de poli- 
tie ‘ontvangen’ gegevens, wat betekent dat de politie niet zelf actief dergelijke in- 
formatie kan vergaren, zoals het downloaden van grote hoeveelheden data via in- 
ternet. Met het oog op een technologie-neutrale formulering van de wettelijke 
bepaling heeft de wetgever niets geregeld over de wijze waarop de artikel 8 gege- 
vens moeten worden opgeslagen. Gelet op de specificiteit van dergelijke gegevens, 
ging de wetgever ervanuit dat deze gegevens dan wel in aparte systemen, dan wel 
op een speciaal gemarkeerde wijze zullen worden opgeslagen.** 

Hoofdstuk 3 van de Politiregisterloven bevat voorts de aanduiding van ver- 
schillende politiedatabanken. Zo ziet artikel 9 op de strafdatabank, artikel 10 op 
het politielogboek, artikel 11 op een intelligencedatabank, artikel 12 op een DNA- 
databank en artikel 13 op een databank voor vingerafdrukken en afbeeldingen. 
Andere databanken dan de in dit hoofdstuk specifiek genoemde databanken kun- 
nen op basis van het ruime artikel 4 Politiregisterloven worden ontwikkeld.* Voor- 
dat een databank mag worden aangelegd, moet in lijn met artikel 14 Politiregister- 
forskriften een Koninklijke regeling worden getroffen. Hoofdstuk 11 van de Poli- 
tiregisterforskriften bevat de noodzakelijke nadere voorschriften met betrekking tot 
het doel, de rechtsgrond en verwerkingsverantwoordelijkheid en ook regels met 
betrekking tot de vraag welke informatie mag worden verwerkt, over toegang en 
openbaarmaking, informatieplicht en inzage, correctie, blokkering en verwijde- 
ring, informatiebeveiliging en interne controle. Artikel 14 lid 2 vermeldt dat de eis 
van nadere regels niet van toepassing is op “the alignment of data from databases that 
are subject to the Police Databases Regulations if the processing follows the rules that apply 
to the source database.” Deze bepaling maakt het mogelijk om gegevens uit verschil- 
lende databanken bij elkaar te voegen. Hieraan zijn geen nadere eisen gesteld, mits 
de databanken waaruit de te compileren gegevens afkomstig zijn aan de gestelde 
wettelijke voorschriften voldoen. Grenzen aan de omvang of de duur van de com- 
pilaties worden niet gesteld. Dit betekent dat vooral bepalingen over het doel, de 
eisen met betrekking tot verwijdering, openbaarmaking en toegangsbeperking van 
de bronregisters grenzen zullen stellen aan de verwerking van data in compilaties. 
Volgens het commentaar op artikel 14 Politiregisterloven laat deze bepaling ruimte 


voor de verwerking van data uit andere databanken dan op grond van 


492 Zie nader de wetshistorische informatie over Politiregisterloven, par. 9.6.4.3. 

493 Zie Peters, commentaar op artikel 8 Politiregisterloven. 

494 Zie nader de wetshistorische informatie over Politiregisterloven, par. 9.6.4.5. 

495 Sinds februari 2022 zijn er 19 centrale registers in de Wet politieregisters geautoriseerd. 
Zie Karnov 2022, opmerkingen bij hoofdstuk 3 Politiregisterloven. 

496 Artikel 14 Politiregisterloven. 
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Politiregisterloven waartoe politie toegang heeft, zoals bestuursregisters. De eis 
geldt immers dat de verwerking de voorschriften van het bronregister moet vol- 
gen, niet voor data uit andere registers die niet in het reglement van de politiere- 
gisters zijn geregeld. De verwerking van dergelijke informatie wordt slechts be- 
perkt door de doelbinding in artikel 4 Politiregisterloven (verwerking voor een po- 
litiedoel).49” 


5.5.2.2 Verwerking van (bulk)data in Noorwegen 


Noorwegen is nog niet ingespeeld op het vergaren en verwerken van bulkdata. 
Zowel in het Straffeprosessloven als de Politiregisterloven is geen regelgeving te vin- 
den waarin specifiek rekening is gehouden met het vergaren en verwerken van 
grote hoeveelheden gegevens. 

Sinds de inwerkingtreding van het Straffeprosessloven in 1986 zijn er wei- 
nig fundamentele wijzigingen doorgevoerd. Wel hebben vanwege technolo- 
gische ontwikkelingen enkele veranderingen plaatsgevonden met betrekking tot 
bijzondere opsporingsbevoegdheden, maar vooralsnog zijn structurele wijzigin- 
gen om het wetboek te moderniseren en technologie-onafhankelijk te maken, blij- 
ven liggen.“ Pogingen om tot modernisering van het WvSv te komen, zijn voor- 
alsnog gestrand. Respondenten stellen dat het huidige wetboek verouderd en 
gefragmenteerd is, en typeren het als een ‘lappendeken’. 

Voor de normering van de vergaring van (bulk)gegevens wordt aanslui- 
ting gezocht bij de bevoegdheden inzake inbeslagneming! die nadien nader zijn 
aangevuld door de Noorse Hoge Raad. Meer recent ingevoerde artikelen hebben 
betrekking op doorzoeking van computersystemen (art. 199a) en de in 2017 inge- 


voerde bepalingen ten aanzien van onderzoek aan gegevens (dataavlesing) teneinde 


497 Zie Peters, commentaar op artikel 14 Politiregisterloven. 

498 Het Straffeprosessloven uit 1981 steunt sterk op de voorganger uit 1887. 

499 Een speciaal opgestelde commissie onder voorzitterschap van Torgersen heeft een voor- 
stel voor een nieuw Straffeprosess loven gedaan. Zie hierover een Engelstalige publicatie 
Torgensen 2016 en het rapport van de commissie zelf. Beschikbaar via: 
(https://www.regjeringen.no/no/dokumenter/nou-2016-24/id2517932/). De aandacht 
voor de technologische vernieuwingen met betrekking tot opsporingsbevoegdheden was 
echter zeer beperkt. 

500 De voorstellen van de commissie Torgersen zijn vooralsnog blijven liggen. 

501 Art. 192 en 200a Straffeprosessloven met betrekking tot doorzoeking (“opslagplaats” heeft 
tevens betrekking op systemen of toestellen waarop elektronische gegevens zijn opgesla- 
gen) en art. 203 en 208a Straffeprosessloven betreffende inbeslagneming (waarbij onder het 
“object” van inbeslagneming tevens gegevens worden verstaan). 
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de problemen met encryptie van data het hoofd te bieden”? Ingevolge artikel 2160 
kan de rechter toestemming geven voor het uitlezen van niet-openbaar beschikbare 
informatie in computersystemen. Artikel 216p Straffeprosessloven specificeert de be- 
voegdheid voor het verrichten van het onderzoek, de wijze waarop de politie zich 
toegang tot gegevens kan verschaffen (inclusief een hackbevoegheid) en de waar- 
borgen ten aanzien van bescherming van doorzochte systemen. Deze bepalingen 
beperken het onderzoek aan gegevens tot systemen die door verdachten worden 
of kunnen worden gebruikt. De Noorse wet voorziet vooralsnog niet in een met 
EncroChat-zaak vergelijkbare vergaring van bulkdata. Overigens is recent een on- 
derzoek verricht waarin de huidige bevoegdheden voor doorzoeking- en inbeslag- 
neming zijn geëvalueerd en er is een voorstel gedaan tot noodzakelijke wijzigingen 
met betrekking tot de vergaring van digitaal bewijs. 

Van gegevens die de politie in bulk tot haar beschikking krijgt, zoals via 
doorzoeking van computersystemen of smartphones, mogen alleen gegevens die 
relevant zijn voor verdenking waarop het doorzoekingsbevel betrekking heeft 
worden opgeslagen teneinde later ook aan de verdediging ter beschikking te wor- 
den gesteld met het oog op een contradictoir proces. In de praktijk houdt dit in dat 
in de fase van doorzoeking en inbeslagneming van de gegevensdrager alle gege- 
vens worden gekopieerd en opgeslagen zonder een beoordeling van de relevantie 
van de data (oftewel, het relevantiecriterium wordt zeer breed uitgelegd). In de 
daaropvolgende fase wordt de originele dataset geanalyseerd op de voor de zaak 
relevante gegevens. Daarbij heeft de Noorse Hoge Raad bepaald dat er pas sprake 
is van inbeslagneming van gegevens op het moment dat de relevante gegevens in 
het strafdossier worden opgeslagen. De Hoge Raad vergelijkt de doorzoeking van 
de originele dataset met een huiszoeking: in een huis kijkt de politie rond en ziet 
dan ook veel meer dan dat er uiteindelijk in beslag wordt genomen. Gegevens die 
geen bewijswaarde hebben mogen in beginsel niet worden verwerkt via de intelli- 
gence database van de politie. Gegevens met bewijswaarde die ook als intelligence 
relevant zijn, kunnen ook in de intelligence databank worden opgeslagen, onder 
voorwaarden van Politiregisterloven.°5 De originele dataset waarin vele voor een 
strafzaak niet relevante gegevens zich bevinden, wordt thans in een ander systeem 


opgeslagen (National Network for Digital Seizure) en er is thans geen 


502 Art. 2160 en 216p Straffeprosessloven. 

503 Zie Sunde 2021. De auteur van dit rapport is in het kader van dit onderzoek geïnterviewd. 

504 Sunde 2021. 

505 Zie EU Project FORMOBILE questionnaire voor Noorwegen, 2021, p. 26. Beschikbaar op: 
https://www.timelex.eu/sites/default/files/2021- 
01/FORMOBILE%20Expert%20Questionnaire%20%2B%20Norway.pdf 
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interconnectiviteit met de intelligence database van de politie (Indicia). In een re- 
cent rapport stelt Inger Marie Sunde een nieuw wettelijk kader voor met betrek- 
king tot doorzoeking, beveiliging en inbeslagname van digitale gegevens. In het 
bijzonder ontwikkelt zij een normerend kader voor de fase waarin de verzamelde 
gegevens worden geanalyseerd met het oog op het bepalen van de relevantie van 
deze gegevens.°0% 

Hoewel aandacht voor de vergaring en verwerking van (bulk)gegevens 
lijkt toe te nemen, is vooralsnog onduidelijk of en wanneer de recente onderzoeks- 
resultaten, zoals het rapport van Sunde, aandacht op wetgevend niveau zullen ge- 
nereren.5 In toenemende mate is er discussie over de verwerking van bulkgege- 
vens en de wens om te komen tot nadere regulering. Recent heeft een voorstel voor 
de uitbreiding van de bevoegdheden van de Politieveiligheidsdienst met betrek- 
king tot vergaring van bulkdata van publiek toegankelijke bronnen (zoals het in- 
ternet) veel discussie gegenereerd. Het voorstel gaat niet zover dat vergelijkbare 
bevoegdheden aan de ‘gewone’ politie worden toegekend. Het voorstel ligt na een 
zeer kritische consultatieronde bij het Ministerie van Justitie en wordt thans her- 


zien.” 


5.5.3 Toezicht 


Op het verwerken van gegevens door de politie houdt een gegevensbeschermings- 
autoriteit toezicht.” Deze autoriteit is vergelijkbaar met de Nederlandse AP. De 
gegevensbeschermingsautoriteit kan controle uitvoeren op de rechtmatigheid van 
gegevensbescherming op verzoek van een individu (art. 59 Politiregisterloven) en 
kan ingevolge artikel 60 Politiregisterloven verschillende handhavende bevoegdhe- 
den uitoefenen. De Noorse autoriteit mag in enkele nader omschreven gevallen 
gegevensverwerkingen stopzetten of bepaalde voorwaarden stellen bij de niet na- 
leving waarbij de gegevensautoriteit een bestuurlijke boete kan opleggen. Tevens 
kan de autoriteit niet-bindende waarschuwingen afgeven. 

Voorts houdt een speciaal door de Koning ingestelde controlecommissie 
toezicht op de manier waarop de politie en de vervolgende instantie omgaan met 


bevoegdheden uit hoofdstuk 16a van het Noorse WvSv dat interceptie van 


506 Sunde 2021, p. 136-140. 
507 Dit wordt ook bevestigd in de interviews. 
508 Beschikbaar via: https://www.regjeringen.no/no/dokumenter/horing-endringer-i-politi- 


loven-og-politiregisterloven-mv.-psts-etterretningsoppdrag-og-behandling-av-apent- 
tilgjengelig-informasjon.pdf/id2874615/. 

509 Art. 58 Politiregisterloven. De politieveiligheidsdienst is onderworpen aan een ander re- 
gime van toezicht. 
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audiocommunicatie en andere controlebevoegdheden van communicatiesystemen 
reguleert (communicatiecontrole in art. 216a — 216k Straffeprosessloven). Artikel 
216h Straffeprosessloven bepaalt dat de controlecommissie toezicht houdt op de be- 
handeling van zaken op grond van het genoemde hoofdstuk / de genoemde hoofd- 
stukken? en op grond van artikel 50 lid 3 van Politiregisterloven. De commissie heeft 
tevens toegang tot alle gegevens, documenten, geluidsopnamen over communica- 
tiecontrole die de commissie in het kader van haar controlefunctie nodig acht en 
kan tevens betrokkenen horen waarbij een meewerkverplichting geldt ongeacht 
een geheimhoudingsplicht.5° 


5.6 CONCLUSIE 


Deze blik over de grens heeft diverse inzichten opgeleverd die helpen bij het na- 
denken over een geschikt kader inzake de verwerking van gegevens door de poli- 
tie. Het eerste inzicht is dat in zowel België, Duitsland als Noorwegen onderscheid 
wordt gemaakt tussen de normering van opsporingsactiviteiten enerzijds en de 
omgang met persoonsgegevens anderzijds. In België en Noorwegen is de opspo- 
ring in een WvSv geregeld en is de omgang met persoonsgegevens in een met de 
Wpg vergelijkbare wet neergelegd. In Duitsland is weliswaar ervoor gekozen om 
in het Duitse StPO ook aandacht te besteden aan gegevensverwerking door het 
openbaar ministerie en de rechterlijke macht, maar ook hier zien we dat de norme- 
ring van opsporingsactiviteiten in een andere titel van het StPO is neergelegd. De 
blik over de grens maakt dus duidelijk dat het niet per se voor de hand ligt om de 
omgang van persoonsgegevens ook in het WvSv te regelen. Voorts zien we in 
Duitsland en Noorwegen dat de wettelijke normering van opsporingsactiviteiten 
niet enkel de vergaring van gegevens regelt, maar waar noodzakelijk ook de ver- 


werking van gegevens. 


510 Art. 50 lid 3 Politiregisterloven: “Data obtained through interception of communications 
which has not been used in the case shall be restricted when the case has been decided 
by final and enforceable judgment or final decision not to prosecute. Restricted data may 
be used in the event of a petition for reopening of a court case, the resumption of a crim- 
inal investigation, or to protect the legitimate interests of a person charged. Data which 
is not lawful to retain pursuant to the Criminal Procedure Act 216 g shall be erased as 
soon as possible. The provision applies correspondingly to data obtained pursuant to the 
Criminal Procedure Act sections 216 m and 216 o, and to data obtained pursuant to the 
Criminal Procedure Act sections 202 a and 202 c insofar as appropriate. The King will 
make regulations containing more detailed provisions on the erasure and use of restricted 
data from interception of communications.” 
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Het tweede inzicht is dat op verschillende manieren invulling kan worden gegeven 
aan het doelbindingsbeginsel en daarmee de mogelijkheden tot doelafwijkend ge- 
bruik. In Duitsland — waar op het gebied van doelbinding een uitgebreide doctrine 
bestaat — dient elke verdere verwerking van gegevens (waaronder ook doelafwij- 
kend gebruik) op een wettelijke grondslag te berusten. Het nadeel hiervan is dat 
het Duitse recht tamelijk complex is. Wel valt hieruit te leren dat doelbinding niet 
steeds op dezelfde wijze hoeft te worden uitgelegd. In Duitsland is ervoor gekozen 
om doelbinding bij de toepassing van opsporingsmethoden waarmee diep kan 
worden ingegrepen in het persoonlijke leven, strikter uit te leggen dan in het geval 
dat met andere, minder ingrijpende bevoegdheden gegevens worden vergaard. In 
de praktijk betekent dit dat gegevens die via in de persoonlijke levenssfeer ingrij- 
pende bevoegdheden zijn verkregen niet zomaar verder mogen worden verwerkt 
of voor andere doeleinden mogen worden gebruikt. In het algemeen geldt dat deze 
gegevens alleen verder mogen worden verwerkt of voor andere doelen mogen 
worden verwerkt, indien het gaat om vergelijkbare doelen. 

Noorwegen laat deels een vergelijkbare benadering zien. In relatie tot op- 
sporingsbevoegdheden wordt doelbinding streng uitgelegd. In de wet is nader be- 
paald in welke gevallen gegevens die met bijzondere opsporingsbevoegdheden 
zijn verkregen verder mogen worden verwerkt. Voor gegevens die niet met bijzon- 
dere opsporingsbevoegdheden zijn verkregen is ervoor gekozen om doelafwijking 
in beginsel toe te staan, tenzij de wet dat expliciet verbiedt. In deze gevallen krijgt 
doelbinding dus een minder strikte uitleg. Op deze wijze wordt het ook mogelijk 
gemaakt doelbinding niet steeds op dezelfde manier uit te leggen. Dit is een ver- 
eenvoudiging ten opzichte van de Nederlandse situatie, waarin voor elke vorm 
van doelafwijking een wettelijke grondslag is gecreëerd. 

Een derde inzicht is tot slot dat toezicht niet vanzelfsprekend hoeft te wor- 
den neergelegd bij een gegevensbeschermingsautoriteit die ook toezicht houdt op 
naleving van de AVG. In België bestond reeds een toezichthouder die zich speci- 
fiek bezighield met toezicht op gegevensverwerking door de politie, maar naar 
aanleiding van de Richtlijn 2016/680 zijn de taken en bevoegdheden van dit orgaan 
herzien. Toezicht op het verwerken van reeds in de opsporing verkregen gegevens 
door een andere autoriteit dan de algemene gegevensbeschermingsautoriteit zou 
interessant kunnen zijn voor Nederland, omdat dan rekening kan worden gehou- 
den met de specifiek strafvorderlijke context waarbinnen gegevens worden verza- 
meld. Voorts kent Noorwegen een interessant figuur in de vorm van een toezichts- 
commissie die naleving van de uitoefening van enkele bijzondere opsporingsbe- 


voegdheden controleert. Het voordeel van zo'n commissie is dat op structurele 
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basis toezicht wordt gehouden op de toepassing van bijzondere opsporingsbe- 
voegdheden. De rechter krijgt slechts een specifieke zaak ter beoordeling voorge- 
legd. 


6 Conclusie 


6.1 INLEIDING 


Het vergaren van gegevens om strafbare feiten op te helderen vormt van oudsher 
een belangrijk onderdeel van het takenpakket van de politie. Voor de vergaring 
van gegevens kan de politie uiteenlopende opsporingsmethoden inzetten. De di- 
gitalisering van de maatschappij heeft de mogelijkheden tot het vergaren van ge- 
gevens aanzienlijk doen toenemen. In het kader van de lopende wetgevingsopera- 
tie voor een nieuw WvSv is in wetenschappelijke en beleidskringen gediscussieerd 
over de vraag hoe de bevoegdheden tot het vergaren van gegevens wettelijk moe- 
ten worden genormeerd. De vergaring van deze gegevens maakt immers gemak- 
kelijk inbreuk op het recht op privacy en als dat het geval is, moet hiervoor een 
wettelijke basis bestaan met voldoende waarborgen tegen misbruik. 

Het thans voorliggende conceptvoorstel voor een nieuw WvSv bevat een 
aantal nieuwe bevoegdheden ter vergaring van gegevens. Een onderwerp dat bin- 
nen de strafvorderlijke context vooralsnog echter minder aandacht heeft gekregen, 
betreft de verwerking van gegevens. In de praktijk vergaren de opsporingsautori- 
teiten niet alleen gegevens, zij nemen deze gegevens ook regelmatig over in de po- 
litiesystemen om deze later al dan niet met behulp van geavanceerde data science- 
technieken te doorzoeken, te ordenen, te analyseren of in verband te brengen met 
andere gegevens. Handelingen met betrekking tot gegevens nadat ze zijn vergaard, 
worden binnen strafvordering niet meer gerekend tot de ‘vergaring’, maar aange- 
duid als de ‘verwerking’ van gegevens. 

De behoefte aan het verwerken of analyseren van gegevens is de laatste 
jaren sterk toegenomen. Dat wordt op twee manieren zichtbaar. In de eerste plaats 
komen gegevens steeds vaker in bulk terecht bij de opsporingsautoriteiten, met als 
gevolg dat deze gegevens eerst moeten worden geanalyseerd en op relevantie moe- 
ten worden beoordeeld. Illustratief zijn recente zaken waarin de politie toegang 
heeft gekregen tot miljoenen versleutelde berichten van verschillende servers, zo- 
als Ennetcom, EncroChat, Sky Global. Deze bulkdatasets worden pas relevant 
wanneer de politie deze gegevens nader analyseert, en in verband brengt met an- 
dere gegevens. Daarmee komt het zwaartepunt van de door de overheid gemaakte 
inbreuk op de privacy van burgers naast vergaring, ook nadrukkelijk bij de verdere 
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verwerking van die gegevens te liggen. Dit roept allerlei (nieuwe) vragen op over 
de nadere normering van onderzoek van (bulk)gegevens voor strafvorderlijke 
doeleinden. In de tweede plaats bestaat er bij de opsporingsautoriteiten steeds 
meer behoefte om gegevens die reeds in de politiesystemen zijn overgenomen na- 
der te onderzoeken, met als doel om hieraan nieuwe informatie te ontlenen. Door 
gegevens met elkaar in verband te brengen en te verrijken, kan immers informatie 
worden gegenereerd die daarvoor als zodanig nog niet bekend was. Een voorbeeld 
is de voorziening ‘Raffinaderij’. Deze voorziening maakt het mogelijk om grote 
hoeveelheden politiegegevens, zoals informatie uit inbeslaggenomen telefoons of 
computers, in samenhang te analyseren met tapverslagen, data van peilbakens en 
gegevens die uit het openbare bronnen afkomstig zijn om zo tot nieuwe inzichten 
te komen. 

Hoewel de verwerking van gegevens door de recente ontwikkelingen na- 
drukkelijker dan voorheen onderdeel is geworden van het politieke en weten- 
schappelijke debat, is de bestaande wettelijke regeling nog niet aangepast aan deze 
nieuwe realiteit, waarbij (1) informatie steeds vaker in bulk bij de politie terecht 
komt door inbeslagname of het hacken van geautomatiseerde werken of grote di- 
gitale-gegevensdragers en (2) in toenemende mate gegevens met elkaar worden 
gecombineerd gebruikmakende van geavanceerde technologie”? In de huidige re- 
geling wordt de verwerking van gegevens voornamelijk in de Wpg genormeerd, 
terwijl de vergaring vooral in het WvSv is geregeld. De vraag is of beide activiteiten 
zich wel op deze wijze laten scheiden en wat de mogelijke implicaties zijn van een 
dergelijke separate normering. De Wpg is immers primair bedoeld om een zorg- 
vuldige omgang met gegevens te waarborgen en niet om de opsporing te norme- 
ren. Van belang is verder de vraag welke waarborgen en eisen Europeesrechtelijke 
rechtsbronnen stellen aan het verwerken van gegevens voor strafvorderlijke doel- 
einden. De vragen op het gebied van de normering van gegevensverwerking zijn 
niet uniek voor de Nederlandse strafvorderlijke context. Daarom is ter inspiratie 
voor een nieuwe regeling ook gekeken naar de Wiv 2017 en relevante wet- en re- 


gelgeving in België, Duitsland en Noorwegen. 


511 Zie voor een beschrijving van Raffinaderij: De Vries, 2017, p. 254-259. Deze voorziening 
is gestart als pilot maar wordt inmiddels landelijk toegepast door de politie, zo blijkt uit 
het jaarrapport van de politie over 2020. Beschikbaar via: https://www.politie.nl/bina- 
ries/content/assets/politie/onderwerpen/jaarverantwoording/2020/jaarverantwoording- 
politie-2020-inclusief-accountantsverklaring. 

512 Zie onder meer Rapport Commissie-Koops 2018, p. 25-48; Schermer 2017, p. 207-216; Stevens 
e.a. 2021, p. 234-245; Dubelaar, Fedorova & Te Molder 2021, p. 53-81. 
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Naar aanleiding van het bovenstaande hebben in dit onderzoek drie vragen cen- 


traal gestaan: 


1. Waar liggen de juridische knelpunten in het huidige wettelijke kader ter 
zake het doen van onderzoek aan vergaarde gegevens voor strafvorderlijke 
doeleinden? 

2. Welke eisen en waarborgen stellen relevante Europeesrechtelijke juridische 
rechtsbronnen aan de normering van het verwerken van gegevens voor 
strafvorderlijke doeleinden? 

3. Welke voor deze normering relevante gezichtspunten kunnen worden ont- 
leend aan de Wiv 2017 en het recht in België, Duitsland en Noorwegen? 


In de voorgaande hoofdstukken is het bestaande wettelijk kader inzake strafvor- 
derlijke gegevensverwerking in kaart gebracht en daarbij zijn enkele knelpunten 
geïdentificeerd. Tevens zijn Europeesrechtelijke relevante rechtsnormen op het ge- 
bied van onderzoek aan gegevens in het kader van de opsporing geanalyseerd, en 
is onderzocht hoe de vergaring en verwerking van gegevens in de WIV 2017 is 
geregeld alsmede hoe België, Duitsland en Noorwegen de verwerking van gege- 
vens die in de opsporing zijn verkregen hebben genormeerd. In dit slothoofdstuk 
wordt nader gereflecteerd op de betekenis van deze inzichten voor de inrichting 
van een nieuwe regeling ten aanzien van strafvorderlijke gegevensbescherming. 

Dit hoofdstuk is als volgt opgebouwd. Allereerst worden bevindingen ten 
aanzien van het Europeesrechtelijke kader op het gebied van de verwerking van 
gegevens voor strafvorderlijke doeleinden uiteengezet (paragraaf 6.2). Bij de ont- 
wikkeling van nieuwe regelgeving of aanpassing van de bestaande regeling op het 
gebied van de verwerking van gegevens voor strafvorderlijke doeleinden vormen 
de Europeesrechtelijke standaarden immers een normatief kader waaraan in elk 
geval moet zijn voldaan. Vervolgens volgt een nadere reflectie op de keuzes die nu 
voorliggen voor wat betreft de (her)inrichting van de wettelijke regeling (paragraaf 
6.3). Deze reflectie vindt plaats aan de hand van de vier in hoofdstuk 2 geidentifi- 
ceerde aandachtpunten in het huidige juridische kader op het gebied van de ver- 
werking van gegevens voor strafvorderlijke doeleinden. Dat betreft zowel de sys- 
tematiek als de inhoud van de normering. In deze nadere reflectie worden ook in- 
zichten betrokken die zijn opgedaan naar aanleiding van de bestudering van de 
Wiv 2017 en regelgeving in België, Duitsland en Noorwegen. 
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6.2 EUROPEESRECHTELIJK KADER VOOR NORMERING VAN ONDERZOEK AAN 
GEGEVENS VOOR STRAFVORDERLIJKE DOELEINDEN 


Voor de normering van onderzoek aan in opsporing verkregen gegevens zijn drie 
Europese rechtsbronnen van belang: (1) de EU-Richtlijn 2016/680 betreffende de 
verwerking van persoonsgegevens voor opsporing en vervolging; (2) het recht op 
privacy zoals neergelegd in artikel 8 van het Europees Verdrag voor de Rechten 
van de Mens (EVRM) en de uitleg die het Europees Hof voor de Rechten van de 
Mens (EHRM) daaraan in zijn jurisprudentie heeft gegeven; en (3) artikelen 7 en 8 
van het Handvest van de Grondrechten van de Europese Unie (HGEU) inzake het 
recht op privacy respectievelijk gegevensbescherming en de uitleg daarvan door 
het Hof van Justitie EU (HvJ EU). Uit het Europese recht kan een aantal belangrijke 
lessen worden getrokken over het recht op gegevensbescherming en het recht op 
privacy. 


6.2.1 EU Richtlijn 2016/680 


In de EU Richtlijn 2016/680 heeft de EU-wetgever een evenwicht gezocht tussen 
enerzijds de bescherming van gegevens en anderzijds de belangen van de opspo- 
ring en vervolging van strafbare feiten. De uitwerkingen van verschillende bepa- 
lingen aangaande toezicht en rechtsbescherming zijn daarom flexibeler dan van 
hun tegenhangers in de Europese Algemene Verordening Gegevensbescherming 
(AVG). De Richtlijn 2016/680 regelt uitsluitend de verwerking van gegevens in het 
kader van de voorkoming, het onderzoek, de opsporing en de vervolging van straf- 
bare feiten, tenuitvoerlegging van straffen en bescherming tegen en voorkoming 
van gevaren voor de openbare veiligheid en is gericht op minimumharmonisatie 
van de regelgeving in verschillende EU-lidstaten. Daarmee biedt de Richtlijn 
2016/680 lidstaten behoorlijk wat ruimte voor de nadere invulling in nationale wet- 
geving van belangrijke gegevensbeschermingsrechtelijke beginselen en uitgangs- 
punten. In het derde hoofdstuk van het voorliggende rapport is nader stil gestaan 
bij de kernpunten uit de Richtlijn inzake de verwerking van gegevens voor straf- 
vorderlijke doeleinden. 

De voor dit onderzoek belangrijke vraag betreft de invulling van het doel- 
bindingsbeginsel en de mogelijkheden tot doelafwijkend gebruik van gegevens. 
Immers, het nader analyseren van eerder in de opsporing verkregen gegevens kan 
ook voor andere doelen geschieden dan waarvoor de gegevens zijn verkregen. In- 
gevolgde artikel 4 lid 1 sub b Richtlijn 2016/680 mogen gegevens voor welbepaalde, 


uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en op een 


Conclusie 153 


niet met die doeleinden onverenigbare wijze worden verwerkt. Hierin worden de 
twee componenten van het doelbindingsbeginsel tot uitdrukking gebracht, name- 
lijk doelspecificatie en verenigbaar gebruik. Voor beide componenten geldt dat de 
Richtlijn 2016/680 maar in beperkte mate duidelijkheid verschaft over de precieze 
invulling daarvan. Met betrekking tot de doelspecificatie is verdedigbaar dat de in 
artikel 1 lid 1 Richtlijn 2016/680 ruim geformuleerde doelen (voorkoming, onder- 
zoek, opsporing en vervolging van strafbare feiten, tenuitvoerlegging van straffen 
en bescherming van openbare veiligheid) afzonderlijk onvoldoende specifiek zijn 
om als verwerkingsdoeleinden te kunnen dienen. Als staten steeds gegevens zou- 
den mogen verwerken voor algemene doeleinden, bijvoorbeeld de opsporing of 
vervolging van strafbare feiten, dan kan nauwelijks meer worden gesproken van 
een zinvolle invulling van het doelbindingsbeginsel. Ook worden dan hieraan ver- 
wante beginselen als dataminimalisatie en opslagbeperking uitgehold. 

Met betrekking tot het aspect van verenigbaar gebruik is voorts van be- 
lang dat de Richtlijn 2016/680 de verenigbaarheidstoets sterk lijkt te relativeren 
door de in artikel 4 lid 2 Richtlijn gekozen formulering. Deze bepaling laat de ver- 
werking van gegevens voor een ‘ander doel’ dan waarvoor de gegevens zijn verg- 
aard toe, mits dit doelafwijkende gebruik bij wet is voorzien, noodzakelijk en pro- 
portioneel is in relatie tot het oorspronkelijke doel. De gekozen formulering leidt 
er evenwel toe dat vrij snel kan worden aangenomen dat sprake is van een ‘ander’ 
doel. Aangezien deze bepaling rept van ‘ander doel’ en niet van ‘onverenigbaar 
doel’, is de bepaling ook op verenigbare doelen van toepassing met als gevolg dat 
de verenigbaarheidstoets niet of nauwelijks meer een rol in de Richtlijn 2016/680 
lijkt te spelen. In het licht van de ratio van het doelbindingsbeginsel — namelijk het 
bieden van voldoende rechtszekerheid voor betrokkenen en voorzienbaarheid van 
de wetgeving inzake gegevensverwerking — is verdedigbaar dat de verenigbaar- 
heidstoets in artikel 4 lid 2 Richtlijn 2016/680 moet worden ingelezen en zodoende 
een rol speelt bij de door de bepaling vereiste proportionaliteitstoets. 

Tot slot verplicht de richtlijn lidstaten tot het tot stand brengen van een 
toezichthoudend kader voor de gegevensverwerking door autoriteiten in de straf- 
vorderlijke context. Ook hier laat de Richtlijn 2016/680 staten behoorlijk wat marge 
in de precieze inrichting van dit kader. De randvoorwaarden die de Richtlijn stelt 
zijn: (1) het toezicht dient zowel op intern als extern niveau plaats te vinden; (2) het 
toezicht moet ‘onafhankelijk’ zijn; en (3) de toezichthouders moeten voldoende be- 
voegdheden hebben om te kunnen spreken van ‘effectief’ toezicht. 
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62.2 Het recht op privacy en gegevensbescherming 


Voor de invulling van het recht op privacy en gegevensbescherming zijn artikelen 
8 EVRM en artikel 7 en artikel 8 HGEU en de invulling die daaraan wordt gegeven 
in de jurisprudentie van het EHRM respectievelijk het HvJ EU belangrijke Euro- 
pese rechtsbronnen. Hoewel de twee kaders (EVRM en HGEU) afzonderlijk van 
elkaar tot ontwikkeling zijn gekomen en een eigen specificiteit kennen, zien wij dat 
het EHRM en het HvJ EU bij de uitleg van het recht op privacy en het recht op 
gegevensbescherming elkaar volgen en beïnvloeden. In het navolgende zal eerst 
kort het EHRM-kader worden geschetst, waarna het kader van het HvJ EU aan de 


orde zal komen. 
Artikel 8 EVRM 


De jurisprudentie van het EHRM aangaande artikel 8 EVRM leert ons dat zowel 
de vergaring, de opslag als de verdere verwerking van gegevens voor strafvorder- 
lijke doeleinden afzonderlijk een inbreuk op de privacy met zich kan brengen en 
dat dergelijke handelingen zelfstandig met voldoende waarborgen dienen te zijn 
omkleed. Belangrijke waarborgen in dit verband zien op het specificeren van een 
doel en doelbinding, opslagbeperkingen en dataminimalisatie (irrelevante gege- 
vens moeten zo snel mogelijk worden verwijderd) en effectief (rechterlijk) toezicht. 
Voorts kan ook het verwerken van gegevens voor doelen die afwijken van de doe- 
len waarvoor gegevens in eerste instantie zijn vergaard, een inbreuk op het recht 
op privacy opleveren. 

Voor de normering van de vergaring en verwerking van bulkgegevens 
heeft het EHRM een afzonderlijk kader ontwikkeld en in recente jurisprudentie 
verder verfijnd. Van belang is dat het EHRM verschillende fasen van gegevensver- 
werking onderscheidt, maar het gehele proces van gegevensverzameling en -ver- 
werking in samenhang als één (doorlopend) proces beschouwt. Hoe verder de fase 
van verwerking gaat, des te groter de inbreuk op de privacy is, waardoor steeds 
meer waarborgen in het proces moeten worden ingebouwd. Deze benadering laat 
een bepaalde mate van flexibiliteit voor staten om het normerende kader zo vorm 
te geven dat rekening kan worden gehouden met de aard van de interceptietool. 
Voor bulkinterceptie die ongericht van aard is, laat het EHRM lidstaten ruimte, in 
de zin dat bulkinterceptie niet hoeft te worden beperkt tot gevallen waarbij sprake 
is van een bepaalde mate van dreiging van de nationale veiligheid of bij het voor- 
komen van bepaalde strafbare feiten. Het EHRM stelt verder geen minimumeis 


wat betreft de groep personen ten aanzien van wie communicatie wordt 
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onderschept (zoals personen ten aanzien van wie een redelijke verdenking be- 
staat). Dit is anders dan bij de gerichte interceptie, waarbij interceptie moet plaats- 
vinden ten aanzien van vooraf omschreven strafbare feiten en/of groepen perso- 
nen. 

Bij de inrichting van hun wetgeving dienen staten de proportionaliteit en 
subsidiariteit van gegevensvergaring en -verwerking te borgen door te voorzien in 
duidelijke en voldoende afgebakende regelgeving omtrent de gronden, omstan- 
digheden en procedure van gegevensverwerking en inzake de opslag van gege- 
vens. In de wet moet worden opgenomen: (1) op basis van welke gronden bulkin- 
terceptie is toegestaan; (2) onder welke omstandigheden communicatie mag wor- 
den onderschept; (3) wie bevoegd is tot het verlenen van autorisatie; (4) hoe de 
procedures voor het selecteren, analyseren en gebruiken van het onderschepte ma- 
teriaal is geregeld; (5) welke voorzorgsmaatregelen in acht worden genomen bij 
het verstrekken van materiaal aan andere partijen; (6) wat de beperkingen van de 
duur van interceptie zijn; (7) hoe de opslag van het onderschepte materiaal en de 
omstandigheden waaronder dit materiaal moet worden verwijderd en vernietigd 
is geregeld; (8) welke procedures gelden voor het toezicht door een onafhankelijke 
instantie voorafgaand, tijdens en na het interceptieproces. Omdat het EHRM deze 
voorwaarden niet als minimumvoorwaarden formuleert, biedt dit kader staten 
ruimte om de normering afhankelijk te stellen van het type bevoegdheid en voor 
een afweging in specifieke omstandigheden van het geval. Met betrekking tot toe- 
zicht maakt het EHRM nadrukkelijk onderscheid tussen toezicht vooraf (autorisa- 
tie door een onafhankelijke autoriteit), toezicht tijdens de uitoefening van de be- 
voegdheid en toezicht achteraf (toegang tot de rechter of andere rechtsmiddelen). 
Het is aan staten om hier meer concrete vormen aan te geven. Hoewel het EHRM 
lidstaten niet dwingt tot een notificatieplicht in het kader van de inzet van surveil- 
lancebevoegdheden, moeten zij wel voorzien in een effectief rechtsmiddel wanneer 


burgers menen dat gegevens ten onrechte door autoriteiten zijn verwerkt. 
Artikelen 7 en 8 HGEU 


Het HvJ EU benadert het privacybegrip op een vergelijkbare manier als het EHRM 
en beoordeelt een inbreuk op de privacy niet alleen aan de hand van de aard van 
de gegevens, maar ook naar wat gegevens in combinatie met elkaar over het pri- 
véleven kunnen prijsgeven. Tevens neemt het HvJ EU tot uitgangspunt dat de op- 
slag van gegevens op zichzelf reeds een inmenging vormt op het recht op privacy 
en gegevensbescherming, onafhankelijk van het verdere gebruik van die gegevens. 


Voor identificerende gegevens (zoals naam, voornaam en adres) geldt dat deze 
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minder privacygevoelig zijn dan IP-adressen of andere verkeers- en locatiegege- 
vens. Voor deze laatste categorie geldt dat de bewaring van dergelijke gegevens op 
zichzelf en dus onafhankelijk van het eventuele latere gebruik van de gegevens, 
reeds een zware inmenging op het recht op privacy vormt. 

In de specifieke context van dataretentie van verkeers- en locatiegegevens 
door telecommunicatieaanbieders en de toegang tot en het gebruik van deze gege- 
vens door autoriteiten verplicht het HvJ EU de lidstaten om de twee onderscheiden 
fasen van verwerking - (1) opslag van en (2) toegang tot telecommunicatiegegevens 
- afzonderlijk te normeren. Omdat het HvJ EU het bewaren van en de toegang tot 
alle verkeers- en locatiegegevens (niet zijnde identificerende gegevens) als zeer pri- 
vacygevoelig waardeert, vereist het HvJ EU direct een streng regime van waarbor- 
gen voor de toegang door autoriteiten tot de opgeslagen gegevens. Daarmee laat 
het HvJ EU geen ruimte om de normering van de opslagfase afhankelijk te stellen 
van de normering van de toegang tot (en het latere gebruik van) gegevens — en vice 
versa. Minder strenge normering van één fase kan dus niet worden gecompenseerd. 
door strengere normering van de andere fase. 

Met betrekking tot het verlenen van toegang van overheidsinstanties tot de 
bij de telecommunicatiediensten bewaarde verkeers- en locatiegegevens (niet 
zijnde slechts identificerende gegevens) stelt het HvJ EU een vijftal eisen: (1) de 
toegang tot gegevens is beperkt tot de doelstelling van de bestrijding van zware of 
ernstige criminaliteit waarbij geldt dat het HvJ EU ook steeds strikt hiërarchisch 
onderscheid maakt naar het doel waarvoor gegevens zijn bewaard (bijvoorbeeld 
nationale veiligheid of bestrijding zware of ‘gewone’ criminaliteit) en het doelaf- 
wijkende (secundaire) gebruik van gegevens is gekoppeld aan de hiërarchie in 
deze doelen, waarbij gegevens steeds kunnen worden verwerkt voor een hoger 
geplaatst doel, maar niet andersom; (2) de toegang mag alleen worden verleend 
indien het gaat om personen die ervan worden verdacht een ernstig strafbaar feit 
te plannen, te plegen of te hebben gepleegd of op een andere wijze betrokken zijn 
bij een dergelijk misdrijf; (3) de toegang dient voorafgaand te worden getoetst door 
een rechterlijke of bestuurlijke onafhankelijke autoriteit (een Officier van Justitie) 
is geen onafhankelijke autoriteit); (4) in beginsel geldt een notificatieverplichting; 
en (5) er moeten wettelijke regels met betrekking tot de beveiliging en bescherming 


van gegevens in het leven worden geroepen. 
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6.3 REFLECTIE OP DE SYSTEMATIEK EN DE INHOUD VAN DE NORMERING 


Uit onze analyse van het huidige wettelijke stelsel in het tweede hoofdstuk, kwam 
een viertal — met elkaar samenhangende — aandachtspunten naar voren waarmee 
rekening moet worden gehouden bij de normering van het onderzoeken van gege- 
vens voor strafvorderlijke doeleinden. De navolgende reflectie richt zich op de keu- 
zes inzake de inrichting van een nieuwe wettelijke regeling zoals die thans voor- 
liggen, waarbij tevens relevante inzichten uit de vergelijking met de Wiv 2017 als- 
mede de blik over de grens worden betrokken. De reflectie wordt aan hand van de 
vier geïdentificeerde aandachtspunten vormgegeven, waarbij eerst zal worden stil- 
gestaan bij de systematiek van normering (aandachtspunt 1) en vervolgens bij de 
inhoud van normering (aandachtspunten 2-4). Daarbij zij gezegd dat de systema- 
tiek en de inhoud met elkaar samenhangen. 


6.3.1 Aandachtspunt 1: de systematiek van de normering 


Het eerste aandachtspunt betreft de verhouding tussen het vergaren en verwerken 
van gegevens en de implicaties hiervan voor de wettelijke systematiek. De verga- 
ring van gegevens is als gezegd voornamelijk in het WvSv geregeld en de verdere 
verwerking in de Wpg.5'5 In bepaalde gevallen wordt echter wel in het WvSv aan- 
dacht besteed aan de verdere verwerking van gegevens. Zo bevat WvSv een aantal 
normen voor wat betreft de verdere verwerking (opslagbeperkingen en doelafwij- 
kend gebruik) van gegevens die met bijzondere opsporingsbevoegdheden zijn ver- 
kregen. Dit onderzoek laat enerzijds zien dat de verzameling en verdere verwer- 
king van gegevens zich niet altijd eenvoudig van elkaar laten scheiden; noch qua 
terminologie (aangezien verzamelen in de Wpg en AVG ook onder verwerken 
wordt begrepen), noch naar handeling (omdat verzameling en verdere verwerking 
in elkaar kunnen overlopen). Anderzijds maakt het onderzoek duidelijk dat een 
onderscheid tussen de verzameling en verdere verwerking van gegevens wel nut- 
tig is met het oog op de normering. Het is echter onverstandig de normering van 
de verdere verwerking van gegevens geheel of grotendeels te koppelen aan de 
wijze van de vergaring van die gegevens, zo leren ook de bevindingen ten aanzien 
van het functioneren van de Wiv 2017. 

Dat de vergaring en (verdere) verwerking van gegevens niet goed vallen 
te scheiden, kan worden geïllustreerd aan de hand van enkele voorbeelden. Als de 
bevoegdheid tot binnendringen in een geautomatiseerd werk wordt ingezet om 


513 Dit onderscheid ligt ook besloten in de wettelijke kaders in België, Duitsland en Noorwe- 
gen. 
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gegevens over te nemen, zullen vervolgens vaak allerlei verwerkingshandelingen 
moeten worden verricht om deze ook daadwerkelijk ten behoeve de opsporing te 
kunnen gebruiken. De gegevens moeten in elk geval nader worden ontsloten en 
op relevantie worden beoordeeld. Hetzelfde geldt voor het overnemen van gege- 
vens uit publiek toegankelijke bronnen of voor het overnemen van gegevens uit 
computers of smartphones. Doorgaans zal de politie nadat deze gegevens zijn 
overgenomen, allerlei vervolghandelingen moeten verrichten die strikt genomen 
tot de (verdere) verwerking van gegevens worden gerekend. De hier beschreven 
verwerkingshandelingen vinden weliswaar ná de vergaring van gegevens plaats, 
maar staan wel in nauw verband met de vergaring van de gegevens. De verwer- 
kingshandelingen zijn immers gericht op het ontsluiten van relevante informatie. 
Voorts moet worden bedacht dat deze verwerkingshandelingen niet noodzakelij- 
kerwijs ná de vergaring plaats hoeven te vinden. Ook vóórdat gegevens worden 
overgenomen, is het soms mogelijk om alvast een selectie te maken op relevantie 
van deze gegevens. 

In de plannen inzake de modernisering van het WvSv wordt strikt onder- 
scheid gemaakt tussen enerzijds de normering van de vergaring van gegevens 
langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds 
de (verdere) verwerking van gegevens. De aanvankelijke bedoeling van de wetge- 
ver was om alle bepalingen die in het huidige WvSv betrekking hebben op de ver- 
dere verwerking van gegevens, over te hevelen naar een nieuw te vormen gege- 
vensverwerkingswet. Op deze gedachte is de wetgever — zoals in het eerste hoofd- 
stuk aangegeven — teruggekomen in de zin dat er op korte termijn geen geheel 
nieuwe gegevensverwerkingswet tot stand zal komen. De vraag naar wat de aan- 
gewezen plek is om de verwerking van gegevens nader te normeren en in hoeverre 
een strikte scheiding tussen de vergaring en (verdere) verwerking voor de hand 
ligt, blijft echter onverminderd actueel. 

De keuze in het gemoderniseerde WvSv om het onderscheid vergaren- 
verwerken strikt door te voeren, valt in ieder geval niet goed te verdedigen. Zo 
regelen de huidige artikelen 125n lid 1 en 126cc lid 6 Sv die in het gemoderniseerde 
Wetboek zijn geschrapt, dat gegevens die tijdens de uitoefening van respectievelijk 
de doorzoeking ter vastlegging van gegevens en de hackbevoegd zijn verkregen, 
moeten worden vernietigd als zij niet relevant blijken te zijn voor het opsporings- 


onderzoek.5'4 Deze vernietigingsverplichtingen beogen aldus te voorkomen dat 


514 Zie over het schrappen van de bepalingen nader de Memorie van Toelichting (ambtelijke 
versie 2020), p. 228-229 waar enkel wordt toegelicht dat de bepalingen worden geschrapt 
en worden ondergebracht in een nieuw te vormen gegevensbeschermingswet. 
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gegevens die tijdens de uitoefening van opsporingsbevoegdheden worden verg- 
aard, te gemakkelijk in de politiesystemen terechtkomen zonder dat hiervoor een 
goede reden bestaat. Strikt genomen zien deze bepalingen op de verwerking van 
gegevens, maar zonder nadere motivering is niet duidelijk waarom deze bepa- 
lingen niet in het WvSv thuishoren. De opsporing in het digitale domein zorgt er 
bovendien voor dat de processen van vergaring en verwerking steeds meer door 
elkaar lopen en daardoor geen logisch aanknopingspunt (meer) voor nadere nor- 
mering opleveren. 

Het voorgaande leert ons dat hoewel de begrippen vergaren en verwer- 
ken nuttig kunnen zijn om nader te duiden welke handelingen met gegevens wor- 
den verricht, dit onderscheid in theorie en praktijk niet steeds scherp kan worden 
gemaakt. Wij komen tot de conclusie dat het niet logisch is om de verhouding tus- 
sen het WvSv en de Wpg vorm te geven aan de hand van welke verwerkingshan- 
deling — vergaring of verwerking — met gegevens wordt verricht. Het ligt veel meer 
voor de hand om te kijken in welke context en met welk doel verwerkingshande- 
lingen worden verricht en aan de hand daarvan te bepalen in welke wet welk on- 
derwerp thuishoort. Wij stellen dan ook voor om verwerkingshandelingen die zijn 
gericht op kennisvermeerdering én een strafvorderlijk doel dienen, in het WvSv 
onder te brengen en aldaar nader te normeren. De overige verwerkingshandelin- 
gen kunnen in de Wpg worden genormeerd. Zo wordt recht gedaan aan het uit- 
gangspunt dat het WvSv de inzet en uitoefening van opsporingsmethoden nor- 
meert, zoals dat ook voortvloeit uit het strafvorderlijk legaliteitsbeginsel.*5 Tege- 
lijkertijd wordt het WvSv niet belast met allerlei normen die niet of nauwelijks van 
belang zijn voor het strafproces en de daarin beschermde belangen. 

Het voorgaande zou betekenen dat het conceptvoorstel voor het gemo- 
derniseerde WvSv moet worden aangepast. Dat geldt in het bijzonder voor de nor- 
mering van digitale opsporingsbevoegdheden, waarbij allerlei verwerkingshande- 
lingen worden verricht.5!é In het conceptvoorstel voor het gemoderniseerde WvSv 


is thans vooral de vergaring en daarmee de voorwaarden voor de inzet van 


515 Niet alle normering is ook daadwerkelijk in het WvSv neergelegd. Zo normeren de be- 
ginselen van behoorlijke procesorde ook de opsporing, maar deze beginselen zijn niet in 
WvSv gecodificeerd. In het gemoderniseerde WvSv gaat dat voor wat betreft de opspo- 
ring veranderen. Daarnaast worden ook niet alle opsporingshandelingen in het WvSv 
genormeerd. Als de betreffende opsporingshandelingen niet meer dan een beperkte in- 
breuk op mensenrechten maken of een risico vormen voor de integriteit van de opsporing 
kan art. 3 Polw. 2012 als grondslag worden gebruikt. Ook dit laatste gaat in het gemoder- 
niseerde WvSv veranderen. 

516 Onder digitale opsporingsbevoegdheden verstaan wij alle bevoegdheden die het moge- 
lijk maken om onderzoekshandelingen te verrichten ten aanzien van computergegevens. 


160 Conclusie 


bevoegdheden genormeerd. Het conceptvoorstel regelt in het bijzonder in welke 
gevallen, voor welke doelen en met toestemming van welke autoriteit gegevens 
mogen worden vergaard.” Het gevolg hiervan is dat de vraag naar de normering 
van de uitoefening van opsporingsbevoegdheden en de verwerkingshandelingen 
die daarmee gepaard gaan, onderbelicht is gebleven. Gevolg is tevens dat veel nor- 
men die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn 
— zoals doelspecificatie, verenigbaar gebruik, verwijderings- en transparantiever- 
plichtingen — (vooralsnog) niet in het gemoderniseerde WvSv terecht zijn geko- 
men, terwijl ze wel van belang zijn voor de opsporing. Weliswaar kent een aantal 
van de gegevensbeschermingsrechtelijke normen overlap met de algemene begin- 
selen van proportionaliteit en subsidiariteit, maar deze algemene beginselen bie- 
den weinig houvast bij het normeren van de uitoefening van digitale opsporings- 
bevoegdheden.”!® Voor onderzoek aan gegevens geldt immers dat deze activiteit 
nauwelijks wordt beperkt door feitelijke belemmeringen zoals mankracht. 

Gelet op het voorgaande stellen wij voor om in een algemene titel (verge- 
lijkbaar met de huidige titel Vd) een algemeen normeringskader te ontwikkelen, 
waarin de belangrijkste normen met betrekking tot het doen van onderzoek aan 
gegevens in het kader van de opsporing worden neergelegd. Zo zou de wetgever 
onder meer het volgende tot uitdrukking kunnen brengen: (a) voorafgaand aan het 
uitvoeren van gegevensonderzoek moet het doel van dat onderzoek worden be- 
paald; (b) gegevens die redelijkerwijs niet relevant zijn voor dit doel moeten wor- 
den verwijderd c.q. ontoegankelijk worden gemaakt; (c) in welke gevallen en met 
inachtneming van welke waarborgen gegevens voor een ander doel dan het doel 
van vergaring kunnen worden gebruikt (doelafwijkend gebruik); en (d) alsmede 
dat alle handelingen die in het kader van dit onderzoek worden verricht moeten 
worden gelogd. 

Voorts is van belang dat naast het creëren van algemene richtinggevende 
beginselen voor onderzoek aan gegevens, er ook een expliciete grondslag wordt 


gecreëerd voor vormen van geautomatiseerde gegevensanalyse die een meer dan 


517 Noemenswaardige uitzondering betreft het voorgestelde art. 2.7.39 nieuw Sv waarin on- 
derzoek van gegevens in of overgenomen uit geautomatiseerde werken en digitale-gege- 
vensdragers nader is genormeerd. 

518 In het gemoderniseerde WvSv worden deze beginselen gecodificeerd. Zie art. 2.1.3 van 
het conceptvoorstel voor het gemoderniseerde WvSv. 

519 Zie in gelijke zin Rapport-Commissie Koops 2018, p. 15. 

520 Bij het vormgeven van deze relevantietoets en de daarmee samenhangende plicht om 
gegevens te verwijderen, moet de wetgever wel de belangen van de verdediging vol- 
doende borgen. 
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beperkte inbreuk maken op de persoonlijke levenssfeer van betrokkenen”?! Nu 
biedt artikel 11 Wpg daartoe een grondslag, maar het strafvorderlijk systeem zou 
aan consistentie winnen indien het WvSv hierin zelf zou voorzien, opnieuw vanuit 
de gedachte dat het niet logisch is om een principieel onderscheid te maken tussen 
het type verwerkingshandelingen, maar veeleer moet worden gekeken in welke 
context en met welk doel verwerkingshandelingen worden verricht. Wij bevelen 
dan ook aan dat in het nieuw te creëren algemene kader voor onderzoek aan gege- 
vens er een expliciete grondslag met bijbehorende waarborgen wordt gecreëerd 
voor de meer dan beperkt inbreukmakende vormen van geautomatiseerde gege- 


vensverwerking. 


6.3.2 Aandachtspunt 2: normering van onderzoek aan bulkgegevens 


Het tweede aandachtspunt betreft het onderzoek aan bulkgegevens die met (hei- 
melijke) opsporingsbevoegdheden zijn verkregen. In zowel het huidige WvSv als 
het conceptvoorstel voor een nieuw WvSv is het onderzoek van de in bulk verkre- 
gen gegevens niet expliciet genormeerd. De bevoegdheid tot vergaring impliceert 
dan ook dat gegevens verder mogen worden verwerkt, onder meer door te onder- 
zoeken op wie de gegevens betrekking hebben en wat de gegevens inhouden. Het 
uitgangspunt inhoudende dat de bevoegdheid tot vergaring ook kennisneming 
van de gegevens betekent, lijkt in de context van bulkgegevens niet goed verde- 
digbaar. Bulkgegevens zijn immers te beschouwen als een gegevensverzameling 
waarvan het merendeel betrekking heeft op personen die geen onderwerp van on- 
derzoek zijn en dat ook nooit zullen worden.” Het verkrijgen van bulkgegevens 
is dus vanuit het oogpunt van het recht op privacy gevoeliger dan het verkrijgen 
van gegevens die wel te relateren zijn aan een of meer personen die reeds onder- 
werp van onderzoek zijn. Met het verkrijgen van bulkgegevens komen namelijk 
gegevens over veel personen in de systemen van de politie te staan zonder dat 
daartoe voor elk van deze personen een legitieme reden bestaat. 

Vanwege de gebrekkige normering in het huidige WvSv wordt in de 
rechtspraktijk tamelijk ad-hoc naar oplossingen gezocht om toch enige grenzen te 
stellen aan het onderzoek van bulkgegevens. Zo is in recente jurisprudentie waarin 


521 Wij beperken ons tot inbreuken die meer dan een beperkte (dat wil zeggen: stelselmatige) 
inbreuk maken op de persoonlijke levenssfeer nu voor beperkte inbreuken op de per- 
soonlijke levenssfeer geen expliciet wettelijke grondslag is vereist, dat thans nog zijn ba- 
sis vindt in art. 3 Politiewet. De algemene strafvorderlijke beginselen van proportionali- 
teit en subsidiariteit zijn daar wel op van toepassing. 

522 Zie hoofdstuk 2, § 4.2. 
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de politie bulkgegevens heeft verkregen “ten overvloede” (zonder dat dit wettelijk 
is verplicht) een rechter-commissaris ingeschakeld die vervolgens eisen heeft ge- 
steld aan de wijze waarop de gegevens onderzocht mogen worden.” Vanwege het 
toenemende belang van bulkgegevens is het belangrijk dat de wetgever het onder- 
zoek van bulkgegevens in het WvSv nader normeert. De vraag is nu hoe de wetge- 
ver dat zou kunnen doen. 

De eerste manier waarop de wetgever dat zou kunnen doen, sluit nauw 
aan bij de wijze waarop de strafrechtspraktijk tot een oplossing is gekomen. De 
wetgever zou immers ervoor kunnen kiezen om de waarborgen te versterken in de 
bestaande opsporingsbevoegdheden waarmee bulkgegevens kunnen worden ver- 
gaard.5*4 Denkbaar is bijvoorbeeld dat in de hackbevoegdheid wordt opgenomen 
dat het OM bij de rechter-commissaris een vordering moet indienen tot het doen 
van onderzoek nadat bulkgegevens zijn vergaard. Vervolgens kan de rechter-com- 
missaris eisen stellen die in acht moeten worden genomen bij het onderzoeken van 
bulkgegevens. In de onderzoeken die hebben geleid tot bulkgegevens, zoals En- 
netcom en EncroChat, is dit ook de werkwijze geweest. De wijze waarop de rech- 
ter-commissaris is ingeschakeld, verschilt echter. Soms was dat op basis van artikel 
181 WvSv, en soms op basis van artikel 126uba Sv. De belangrijkste eisen die in dit 
verband door de rechter-commissaris zijn gesteld zijn: (a) dat alleen mag worden 
gezocht op zoekwoorden die te relateren zijn aan het doel van het onderzoek; (b) 
dat de met de zoekwoorden gevonden informatie eerst aan de rechter-commissaris 
moet worden voorgelegd en daarna pas kan worden verstrekt aan de politie en het 
OM; en (c) dat de rechter-commissaris het onderzoek tussentijds kan beëindigen 
indien de tussentijdse toets hiertoe aanleiding zou geven. Met deze eisen is beoogd 
de proportionaliteit van het onderzoek te waarborgen en te voorkomen dat het on- 
derzoek een fishing expedition zou worden. 

De vraag is echter of de hierboven beschreven werkwijze voldoende 
werkbaar is in de praktijk en de proportionaliteit van het onderzoek voldoende 
kan borgen. Het probleem is immers dat bij onderzoek aan bulkgegevens niet zeker 
is waarnaar precies moet worden gezocht. Dit onderzoek is veelal een dynamisch 
proces, waardoor moeilijk vooraf kan worden bepaald wat al dan niet relevant is. 
Het gevolg hiervan kan zijn dat de zoektermen die worden gebruikt nogal ruim en 
vaag zijn en de rechter-commissaris die gevraagd wordt zich hierover te buigen, 


weinig concrete handvatten heeft om een beoordeling te maken van de 


523 Zie hoofdstuk 2, § 4.2. 

524 Bestaande (heimelijke) opsporingsbevoegdheden waarmee bulkgegevens kunnen wor- 
den vergaard zijn in elk geval de inbeslagneming van geautomatiseerde werken en ge- 
gevensdragers en de hackbevoegdheid. 
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proportionaliteit. Bovendien betekent het versterken van de waarborgen van en- 
kele opsporingsbevoegdheden dat deze waarborgen slechts voor deze bepaalde 
opsporingsbevoegdheden gelden. Het is dan ook niet aan te bevelen het WvSv zo 
aan te passen dat alleen voor specifieke opsporingsbevoegdheden waarmee bulk- 
gegevens kunnen worden verkregen, verzwaarde waarborgen worden opgeno- 
men. 

Inspiratie voor hoe het onderzoek aan bulkgegevens nader kan worden 
genormeerd, bieden de ervaringen met de Wiv 2017. Niet alle waarborgen die in 
het kader van bulkinterceptie in de Wiv 2017 zijn ontwikkeld, kunnen worden 
overgenomen omdat de diensten voor hun opdracht grotere bulksets mogen verg- 
aren en verwerken. Niettemin biedt het Wiv 2017 kader enkele aanknopingspunten 
voor waarborgen die voor het onderzoek aan bulkgegevens van belang kunnen 
zijn en de wijze waarop dit wettelijk geregeld zou kunnen worden. 

Een belangrijke waarborg in de Wiv 2017 is een functiescheiding in com- 
binatie met een bewaartermijn. Functiescheiding houdt in dat de personen die het 
onderzoek aan gegevens verrichten niet dezelfde personen zijn als de personen die 
het inlichtingenwerk verrichten. In de wettelijke normering van onderzoek van 
bulkgegevens voor strafvorderlijke doeleinden zou een vergelijkbare functieschei- 
ding tot uitdrukking kunnen worden gebracht. Dat impliceert dat de gegevens 
eerst worden doorzocht door analisten en dat enkel de voor het opsporingsonder- 
zoek relevante informatie aan de tactische onderdelen van de politie en het OM ter 
beschikking wordt gesteld. Dat brengt ons bij de bewaartermijn. Voor bulkgege- 
vens geldt doorgaans dat niet eenvoudig kan worden vastgesteld welke gegevens 
niet relevant zijn en daarmee voor verwijdering in aanmerking komen. Het pro- 
bleem is immers dat bulkgegevens zodanig veel gegevens bevatten dat het binnen 
de voor opsporing beschikbare capaciteit en tijd niet mogelijk is om snel een beeld 
te vormen van de inhoud van alle gegevens. Tegelijkertijd kan het onderzoek aan 
bulkgegevens gelet op het recht op privacy niet eindeloos duren, met als risico dat 
de gegevens ook voor andere doelen dan waarvoor de gegevens zijn vergaard wor- 
den geanalyseerd. In de Wiv 2017 is er daarom voor gekozen om het onderzoek 
aan bulkgegevens te koppelen aan een bewaartermijn. Dit betekent dat de gege- 
vens een bepaalde periode — bijvoorbeeld een jaar — mogen worden onderzocht. 
Na deze termijn dient de gehele set met bulkgegevens te worden vernietigd. In 
WvSv kennen we een dergelijke functiescheiding in combinatie met bewaartermij- 
nen niet, maar dit zou dus wel nuttig kunnen zijn. Over de vraag hoe lang die 
bewaartermijn moet zijn, kan natuurlijk gemakkelijk discussie ontstaan. Het is 
daarom belangrijk dat de wetgever hierin keuzes maakt, waarbij zowel recht wordt 
gedaan aan het recht op privacy als het opsporingsbelang. 
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Een tweede manier waarop onderzoek aan bulkgegevens kan worden geregeld, is 
dan ook door een algemeen normeringskader te creëren specifiek voor het doen 
van onderzoek aan bulkgegevens, ongeacht de vraag hoe deze gegevens zijn ver- 
kregen. In dit normeringskader zou functiescheiding en de bewaartermijn tot uit- 
drukking kunnen worden gebracht. Ook zou in dit normerende kader een motive- 
ringsverplichting kunnen worden opgenomen ter waarborging van de noodzake- 
lijkheid (subsidiariteit) van inzet van de opsporingsbevoegdheid. Dit betekent dat 
de opsporingsautoriteiten — voordat zij overgaan tot inzet van een opsporingsbe- 
voegdheid die naar verwachting redelijkerwijs kan resulteren in bulkgegevens — 
voldoende gemotiveerd moeten kunnen onderbouwen waarom inzet van de be- 
voegdheid op deze wijze noodzakelijk is. Bij het vormgeven van een grondslag 
waarin onderzoek aan bulkgegevens die met bijzondere of heimelijke opsporings- 
bevoegdheden wordt geregeld, is tot slot van belang om de eisen niet te verbinden 
aan één bevoegdheid, omdat meerdere digitale opsporingsbevoegdheden (hacken, 
inbeslagneming, vorderen gegevens, overnemen van gegevens uit publiek toegan- 


kelijke bronnen) tot het vergaren van bulkgegevens kunnen leiden. 


6.3.3 Aandachtspunt 3: doelbinding en doelafwijkend gebruik 


Het derde aandachtspunt is de invulling van het doelbindingsbeginsel en daarmee 
samenhangend de mogelijkheden tot doelafwijkend gebruik. Het doelbindingsbe- 
ginsel houdt in dat gegevens alleen mogen worden verwerkt ten behoeve van het 
doel waarvoor de gegevens zijn verkregen en op een wijze die niet onverenigbaar 
is met dat doel. Dat doel moet voorts voorafgaand aan de vergaring door de op- 
sporingsautoriteiten worden gespecificeerd. Een zeer strikte invulling van het 
doelbindingsbeginsel beperkt de mogelijkheden tot het verder of ander gebruik 
van gegevens. Op deze manier kan doelbinding het werk van de opsporingsauto- 
riteiten frustreren, omdat bij de opsporingsautoriteiten ook behoefte bestaat om 
gegevens die voor uiteenlopende doelen zijn vergaard en verwerkt te combineren 
en zo te verrijken. Tegelijkertijd kent het doelbindingsbeginsel een belangrijke 
waarborgfunctie. Door vooraf te expliciteren wat het doel van de verwerking is en 
vervolgens alleen handelingen toe te staan die niet onverenigbaar zijn met dat doel, 


wordt immers de mogelijkheid tot misbruik beperkt. 


525 Dit laatste wordt ook wel aangeduid als doelspecificatie. 

526 In het kader van strafvordering wordt dit doel vaak door de wetgever geëxpliciteerd, 
maar in sommige gevallen moet de verwerkingsverantwoordelijke zelf ook aan nadere 
doelspecificatie voldoen. Zie bijvoorbeeld art. 9 lid 2 Wpg. 
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Uit het voorgaande in paragraaf 6.2 is duidelijk geworden dat doelbinding in de 
EU Richtlijn 2016/680 inhoudt dat de met heimelijke opsporingsbevoegdheden ver- 
kregen gegevens in beginsel alleen mogen worden gebruikt voor het concrete doel 
waarvoor de bevoegdheid is ingezet” Tegelijkertijd wordt in de EU Richtlijn 
2016/680 wel erkend dat gegevens ook voor andere doelen dan het doel van verga- 
ring mogen worden verwerkt, mits dat doelafwijkende gebruik bij wet is voorzien, 
noodzakelijk en proportioneel is. Over het antwoord op de vraag hoe stringent 
deze proportionaliteitstoets invulling moet krijgen, is de EU Richtlijn 2016/680 niet 
duidelijk. Met name is onduidelijk in welke mate een ander, secundair verwer- 
kingsdoeleinde nog verband moet houden met het primaire verwerkingsdoel- 
einde. 

Op dit punt loopt de normering in het buitenland ook uiteen. In Duitsland 
wordt aan het doelafwijkende gebruik van gegevens die zijn verkregen met opspo- 
ringsbevoegdheden die ernstig inbreuk maken op grond- en mensenrechten 
strenge eisen gesteld.” Hier wordt immers de zogeheten hypothetischen Datenneu- 
erhebung-toets toegepast. Deze toets houdt voor wat betreft bijzondere opsporings- 
bevoegdheden in dat de met deze bevoegdheden verkregen gegevens in beginsel 
alleen in andere opsporingsonderzoeken mogen worden gebruikt indien het in die 
andere onderzoeken ook gaat om strafbare feiten van dezelfde ernst of ernstiger. 

In Noorwegen lijkt de lat voor doelafwijkend gebruik van gegevens min- 
der hoog te zijn gelegd. Als algemeen uitgangspunt wordt hier gehanteerd dat de 
doelen waarvoor de politie gegevens verwerkt in beginsel verenigbaar zijn met el- 
kaar. Dit betekent dan ook dat gegevens die voor een specifiek doel worden ver- 
werkt, ook voor een ander doel mogen worden verwerkt. Tegelijkertijd beperkt het 
Noorse recht op diverse plaatsen de mogelijkheden tot doelafwijkend gebruik. 
Voor wat betreft de met opsporingsbevoegdheden verkregen gegevens geldt bij- 
voorbeeld dat deze gegevens alleen voor ‘intelligence’-doelen mogen worden ver- 
werkt als de gegevens betrekking hebben op — kort gezegd — personen waarvan 
wordt vermoed dat zij in georganiseerd verband strafbare feiten zullen begaan en 
personen (familie, vrienden, collega’s) die hiermee een nauwe band hebben. Gege- 
vens die met bijzondere opsporingsbevoegdheden zijn verkregen, kunnen — in af- 
wijking van het algemene uitganspunt — dus niet zomaar voor andere politiedoelen 
worden verwerkt. In België is de gedachtenvorming inzake doelafwijkend gebruik 
van in de opsporing verkregen gegevens niet of nauwelijks ontwikkeld. Weliswaar 


527 In Noorwegen en Duitsland wordt doelbinding ook op deze wijze uitgelegd. 
528 Zie Hoofdstuk 3. 
529 Hierbij moet bijvoorbeeld worden gedacht aan de hackbevoegdheid. 
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sluit het Belgische recht de mogelijkheid van doelafwijkend gebruik niet uit, maar 
in het WvSv is niet nader uitgewerkt in welke gevallen en onder welke omstandig- 
heden doelafwijkend gebruik van in de opsporing verkregen gegevens toelaatbaar 
is. 

Voor de inrichting van nieuwe wetgeving op het gebied van doelafwij- 
kend gebruik van gegevens voor strafvorderlijke doeleinden dient de wetgever al- 
dus na te denken over de vraag in welke gevallen behoefte bestaat aan doelafwij- 
kend gebruik van in de opsporing verkregen gegevens, alsmede welke eisen daar- 
aan moeten worden gesteld zodat dit doelafwijkende gebruik bij wet is voorzien 
en de noodzakelijkheid en de proportionaliteit van dit gebruik is geborgd. In ab- 
stracto kan moeilijk worden bepaald wanneer doelafwijkend gebruik noodzakelijk 
en proportioneel is. Niettemin is het wel nuttig om bij de ontwikkeling van nieuwe 
regels op dit terrein onderscheid te maken tussen twee vormen van doelafwijkend 
gebruik: repurposing en recontextualization.5 Dit onderscheid is vooral nuttig bij het 
nadenken over de vraag welke waarborgen in de wet moeten worden opgenomen. 

Aan de ene kant staat repurposing, waarbij geëvalueerde gegevens die 
eerst voor een bepaald doel zijn verwerkt later voor een ander doel worden ge- 
bruikt. Met geëvalueerde gegevens wordt hier bedoeld dat de gegevens op rele- 
vantie voor een bepaald opsporingsonderzoek zijn beoordeeld en dat de aard en 
inhoud van de gegevens bekend is. Een voorbeeld van repurposing is het gebruik 
van gegevens in een ander opsporingsonderzoek dan het onderzoek waarin de ge- 
gevens zijn verkregen. Repurposing is onder meer te herkennen in artikel 126dd Sv 
en artikel 9 lid 3 Wpg. Deze bepalingen bevatten als belangrijkste waarborg dat 
voorafgaand aan het doelafwijkende gebruik, wordt getoetst door een officier van 
justitie of een andere functionaris of de gegevens ook voor dat andere doel kunnen 
worden verwerkt. Onduidelijk is echter aan welke maatstaven dit doelafwijkende 
gebruik moet worden getoetst, terwijl de Richtlijn 2016/680 voorschrijft dat dit 
doelafwijkende gebruik noodzakelijk en proportioneel moet zijn. Het verdient dus 
aanbeveling dat de wetgever in onder meer artikel 126dd Sv en artikel 9 lid 3 Wpg 
eisen van noodzakelijkheid en proportionaliteit in de wet opneemt. Ook zou het 
goed zijn dat de wetgever in de bijbehorende toelichtende stukken uiteenzet hoe 
deze begrippen moeten worden getoetst. 

Aan de andere kant staat recontextualization. Hierbij worden de gegevens 
ook voor een ander doel gebruikt dan waarvoor ze zijn vergaard, maar het verschil 
met repurposing is dat de gegevens opnieuw worden geëvalueerd. Hierbij kan bij- 


voorbeeld gedacht worden aan verwerkingen waarbij gegevens die voor 


530 Dit onderscheid is ontleend aan Custers & Ursic 2016. 
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verschillende doelen zijn verwerkt bij elkaar worden gebracht met als doel om daar 
informatie uit af te leiden die als zodanig nog niet bekend was. Artikel 11 lid 4 Wpg 
maakt recontextualization mogelijk. Zo kunnen de opsporingsautoriteiten gegevens 
die eerder met bijzondere opsporingsbevoegdheden zijn vergaard opnieuw analy- 
seren met als doel om hieruit informatie af te leiden die tot nieuwe inzichten leidt. 
Hierdoor kunnen personen die een bepaalde hoedanigheid hebben (verdachte, ge- 
tuige, slachtoffer of anderszins) mogelijk een andere hoedanigheid krijgen. Aan 
recontextualization zitten in het algemeen dan ook meer risico’s dan aan repurposing. 
In de normering moet hiermee rekening worden gehouden. In artikel 11 Wpg is 
dat onvoldoende gebeurd. Met name is onduidelijk in welke gevallen en voor 
welke doelen artikel 11 lid 4 Wpg zou kunnen worden toegepast. Deze onduide- 
lijkheid wordt verder versterkt doordat niet geheel duidelijk is welke onderzoeks- 
handelingen op basis van deze bepaling mogen worden verricht. Het toetsen van 
proportionaliteit van een onderzoekshandeling wordt hierdoor verder bemoeilijkt. 
Aanbevolen wordt aldus om artikel 11 Wpg te herzien. Niet alleen moet de wetge- 
ver duidelijker maken in welke gevallen en voor welke doelen de bepaling kan 
worden toegepast, ook moet de wetgever helder uiteenzetten welke onderzoeks- 
handelingen de bepaling beoogt te normeren. Dit laatste neemt echter niet weg dat 
in de wettekst zelf met een containerbegrip zal moeten worden gewerkt, waaron- 
der verschillende onderzoekshandelingen vallen. Het proces waarbij gegevens uit 
verschillende bronnen worden gecombineerd, geordend, gevisualiseerd en verrijkt 
om zo informatie te genereren die als zodanig nog niet bekend was, is immers zeer 
dynamisch van aard. Dit proces laat zich dan ook niet eenvoudig vangen in scherp 
definieerbare begrippen. 


6.3.4 Aandachtspunt 4: toezicht 


Een vierde aandachtspunt betreft — tot slot — het toezicht op de gegevensverwer- 
king. Zoals uit eerdere hoofdstukken naar voren komt, is het thema van normering 
onlosmakelijk verbonden met toezicht. Verondersteld wordt immers dat van (ef- 
fectief) toezicht een belangrijke prikkel tot naleving uitgaat. De Richtlijn 2016/680 
verplicht eveneens tot effectief toezicht. Ook het EHRM en het HvJ EU leggen de 
nadruk hierop. Met het oog daarop dient de toezichthouder over voldoende corri- 
gerende, toezichthoudende en raadgevende bevoegdheden te beschikken. Toe- 
zicht heeft ook een belangrijke rol bij de normering zelf; door het houden van toe- 
zicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan 
de norm — daar waar nodig — nader worden uitgelegd. Normprecisering vormt 


derhalve een belangrijk onderdeel van toezicht, hetgeen met name in een snel 
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veranderende omgeving van gegevensverwerking voor strafvorderlijke doelein- 
den van grote meerwaarde kan zijn. Daarbij geldt ook dat een goed functionerend 
stelsel van toezicht mogelijke problemen of onduidelijkheden in de normering kan 
ondervangen. Zoals in het vierde hoofdstuk reeds geopperd, biedt het creëren 
van een goed toezichtsysteem wellicht ook de mogelijkheid om de normering min- 
der strikt in te richten. Dat wil zeggen meer vanuit de beginselen dan vanuit harde 
regels en scherpe juridische onderscheidingen. 

In dit onderzoek is geen uitgebreid empirisch onderzoek gedaan naar het 
functioneren van het stelsel van toezicht. Niettemin leggen de literatuurstudie en 
interviews de nodige knelpunten bloot die nopen tot nadere reflectie met het oog 
op de toekomst. In de kern is het probleem dat weliswaar verschillende onafhan- 
kelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de ver- 
werking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de 
taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van 
effectief toezicht kan worden gesproken. Bij het nadenken over een nieuwe syste- 
matiek of andere inhoudelijke normering, kan een nadere reflectie op het toezicht 
dus niet achterwege blijven. Er zijn in dit verband twee vragen die nadere aandacht 
behoeven. De eerste is de vraag bij welke autoriteit(en) het toezicht moet worden 
belegd en de tweede vraag betreft het type toezicht en in hoeverre het toezicht op 


onderzoek aan gegevens met een strafvorderlijk doel aanvulling behoeft. 
Naar een gespecialiseerde toezichthouder? 


De eerste vraag betreft de verhouding tussen toezichthouders en wie het best ge- 
equipeerd is om toezicht te houden op strafvorderlijke gegevensverwerking. Wan- 
neer we kijken naar de huidige verdeling is deze op het eerste gezicht helder: de 
strafrechter beoordeelt individuele zaken (vooral aan de hand van artikel 359a 
Sv)’ en de Autoriteit Persoonsgegevens (AP) is er voor het grotere geheel. In de 
praktijk valt echter te betwijfelen of daadwerkelijk sprake is van voldoende effec- 
tieve rechtsbescherming.**> Voor de strafrechter geldt dat deze uiteindelijk maar 
een zeer beperkt aantal zaken voor zich krijgt en bovendien de nodige terughou- 
dendheid betracht met het verbinden van rechtsgevolgen aan privacy-schendin- 
gen.>*4 In de praktijk heeft dit tot gevolg dat doorgaans niet uitvoerig wordt 


531 Zie hoofdstuk 4, 8 6 en 7. 

532 De bescheiden rol van de Ov] laten we hier verder buiten beschouwing, nu deze niet is 
geformaliseerd en de OvJ hierin ook geen grote rol lijkt te spelen. 

533 Zie hoofdstuk 2, 8 44. 

534 Ook in het interview met een strafrechtadvocaat kwam dit knelpunt naar voren. 
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gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke 
beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot een rechts- 
gevolg hoeven te leiden.” Voorts wordt ook aangenomen dat het niet tot de taak 
van de strafrechter behoort om de opsporing te controleren.” De AP lijkt deze rol 
ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoe- 
zicht houdt en niet op concrete zaken.” Bovendien houdt de AP vooral toezicht 
op naleving van het gegevensbeschermingsrecht, maar het gegevensbescher- 
mingsrecht is niet het enige gezichtspunt dat relevant is bij de normering van de 
verwerking van gegevens voor strafvorderlijke doeleinden. 

Het verdient aanbeveling een toezichthouder in het leven te roepen die 
specifiek toezicht kan houden op de verwerking van gegevens voor strafvorder- 
lijke doeleinden. Hiermee wordt tegemoetgekomen aan de leemte in het huidige 
toezichthoudende kader. Voorts kan een gespecialiseerde toezichthouder aan 
normprecisering doen. Daaraan lijkt zeker op het gebied van gegevensverwerking 
voor strafvorderlijke doeleinden behoefte te bestaan. De wet dienaangaande kent 
immers vaak abstracte en vage begrippen. Tot slot kan een gespecialiseerde toe- 
zichthouder ook voor een breder publiek inzichtelijk maken waar de vragen en 
dilemma’s liggen zodat daarover een bredere maatschappelijke of politieke discus- 
sie kan plaatsvinden. Een nadeel van een nieuwe gespecialiseerde toezichthouder 
is verdere fragmentatie nu op het terrein van gegevensverwerking voor strafvor- 
derlijke doeleinden reeds verschillende toezichthouders actief zijn. Toch lijkt dit 
geen zwaarwegend bezwaar te zijn, nu op dit terrein altijd meerdere toezichthou- 
ders opereren; de strafrechter zal in een individuele strafzaak toch moeten beoor- 
delen hoe een eventuele onrechtmatigheid in de gegevensverwerking doorwerkt 
op de bewijsvraag dan wel de straftoemeting. Het blijft dus een kwestie van goed 
afstemmen welke autoriteit, welk onderdeel afdekt. 

Voor wat betreft de vormgeving van een gespecialiseerde toezichthouder 
zijn verschillende opties denkbaar. In de eerste plaats zou men — zoals dat in België 
is gebeurd — naast een algemene gegevensbeschermingsautoriteit een gespeciali- 
seerde gegevensbeschermingsautoriteit kunnen oprichten die specifiek toezicht 


535 Zie ter illustratie verschillende rechtbankzaken, waarin gevoerde verweren op basis van 
de Wpg steevast worden afgewezen: Rb. Gelderland 20 oktober 2021, 
ECLI:NL:RBGEL:2021:5612; Rb. Gelderland 8 december 2021, 
ECLI:NL:RBGEL:2021:6584; Rb. Oost-Brabant 15 december 2021, 
ECLI:NL:RBOBR:2021:6861; Rb. Amsterdam 22 december 2021, 
ECLENL:RBAMS:2021:7553 en Rb. Amsterdam 11 mei 2022, ECLI:NL:RBAMS:2022:2453. 

536 Zie in dit verband ook HR 1 december 2020, ECLI:NL:HR:2020:1889, NJ 2021/169 m.nt. 
Jorg, r.o. 2.3.1. 

537 Dit werd ook bevestigd in een interview met respondenten van de AP. 
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houdt op gegevensverwerking door de opsporingsautoriteiten. Lidstaten kunnen 
immers meer dan één toezichthoudende autoriteit in het leven roepen.” Deze be- 
schermingsautoriteit functioneert dan als waakhond en ziet toe op de naleving van 
de Wpg en de naleving van het (gemoderniseerde) WvSv, daar waar het gegevens- 
verwerking door de politie betreft. De beschermingsautoriteit functioneert voorts 
naast de strafrechter, die vanzelfsprekend binnen een strafproces toezicht houdt 
op de naleving van de wet. De WP29 pleit echter voor één gegevensbeschermings- 
autoriteit die zowel toezicht houdt op de naleving van de AVG als de Richtlijn 
2016/680. De keuze voor één autoriteit zorgt er volgens de Uniewetgever voor dat 
wordt gegarandeerd dat de gemeenschappelijke beginselen en begrippen zoveel 
mogelijk homogeen worden uitgelegd en dat een consistente gegevensbescher- 
ming in beleid en praktijk wordt gewaarborgd. Bovendien is het voordeel van 
één gegevensbeschermingsautoriteit dat slechts één partij aan tafel zit in de EU. 
Een andere toezichthouder naast de AP die zich weliswaar specifiek zou richten 
op gegevensverwerking door de politie is in dat opzicht niet wenselijk. De Unie- 
wetgever spreekt echter een voorkeur uit, maar dwingt niet tot slechts één gege- 
vensbeschermingsautoriteit. 

Een andere optie houdt in dat het toezicht binnen het strafvorderlijke ka- 
der wordt versterkt door naast het huidige AP en de strafrechter, een toezichthou- 
dend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent 
op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent im- 
mers toezicht uit zowel tijdens de uitoefening van de bevoegdheden als achteraf. 
Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten. Verder kan 
de CTIVD de relevante actoren (in de Wiv 2017 is dat de betrokken minister) ge- 
vraagd en ongevraagd adviseren. Om deze toezichthoudende taak uit te voeren, 
heeft de CTIVD ook allerlei (vergaande) bevoegdheden. Zo heeft zij rechtstreeks 
toegang tot alle relevante systemen van de AIVD en de MIVD, kan zij medewerkers 
horen en deskundigen inschakelen. Het voordeel van het in het leven roepen van 
een met de CTIVD vergelijkbaar orgaan boven een specialistische gegevensbe- 
schermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebe- 
deeld binnen het strafvorderlijke kader, een taak die verder gaat dan die van een 
waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke 


538 Zie Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) — wp258, 
p. 37. Beschikbaar via: https://ec.europa.eu/newsroom/article29/items/610178. 

539 Overigens is de vraag of het altijd wenselijk is om te streven naar homogeniteit van de 
uitleg van normen in de AVG en de Richtlijn 2016/680. Sommige beginselen in de Richt- 
lijn 2016/680 kennen reeds een wat van de AVG afwijkende uitleg omdat de context zo 
verschillend is. 
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rol vervullen op het gebied van normprecisering. Dit orgaan zou wat ons betreft 
bovendien als klankbord kunnen fungeren bij vragen van de politie over de ver- 
werking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om 
worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat 
de opsporing werkbaar blijft. 


Meer ex durante toezicht? 


Naast de vraag wie toezicht moet houden, is vanzelfsprekend van belang hoe toe- 
zicht moet worden gehouden. Deze twee vragen hangen met elkaar samen; zo is 
rechterlijke toetsing vaak meer statisch van aard en zaakspecifiek, terwijl een toe- 
zichthouder een beeld kan vormen over meerdere zaken en meer dynamisch toe- 
zicht kan houden. Goed toezicht wil echter niet zeggen dat elke (verwerkings)han- 
deling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manie- 
ren om de vereiste volledigheid van het toezicht te realiseren. Waar het momenteel 
vooral aan lijkt te ontbreken is een onafhankelijke toezichthouder die real-time mee 
kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig 
kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op 
ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve 
vorm van toezicht of rechtsbescherming te zijn. Immers, vaak is vooraf nog niet 
precies duidelijk wat men gaat tegenkomen in de bulk met gegevens. Bovendien is 
niet alleen bij onderzoek aan bulkgegevens real-time toezicht wenselijk, ook bij an- 
dere (complexe) gegevensverwerkingen die in het kader van de opsporing worden 
uitgeoefend. Waar bij andersoortig strafvorderlijk optreden — bijvoorbeeld een stel- 
selmatige observatie — een dergelijk ex durante toezicht soms lastig kan worden 
vormgegeven, moet dit voor wat betreft digitale opsporing eenvoudiger te realise- 
ren te zijn. Ondersteuning voor het uitvoeren van ex durante toezicht kan mogelijk 
mede worden gevonden in de techniek. In het kader van de Wiv 2017 en de plan- 
nen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijke 
vorm van toezicht gestalte kan krijgen. 

De trend naar meer ex durante en ex post toezicht is ook in de jurispruden- 
tie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat 
onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Neder- 
land kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet 
worden gekomen en kunnen de belangen van de verdachte voldoende worden ge- 


waarborgd. 
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64 SLOTSOM 


Dit onderzoek behelst een verkenning van de wettelijke waarborgen bij strafvor- 
derlijke vergaring van gegevens en de mate waarin vervolgens in waarborgen 
moet worden voorzien bij de daaropvolgende (verdere) verwerking van die gege- 
vens. Het onderzoek inventariseert welke eisen en waarborgen het Europese recht 
stelt aan de normering van het verwerken van gegevens voor de opsporing en 
identificeert een viertal juridische knel- en aandachtspunten in het huidige wette- 
lijke kader. Voor een overdenking van de wenselijke normering van (verdere) ver- 
werking van gegevens vergaard in het kader van opsporing put het onderzoek in- 
spiratie uit de Wiv 2017 en het recht in België, Duitsland en Noorwegen. 

Alles overziend komen we tot volgende aanbevelingen die de wetgever voor 
de inrichting van de nieuwe wettelijke regeling ten aanzien van strafvorderlijke 


gegevensbescherming in acht kan nemen. 


1. De verwerking van gegevens met een strafvorderlijk doel dient nader in het 
WvS te worden genormeerd door het creëren van een normeringskader in 
aanvulling op de regels die reeds gelden voor de vergaring van gegevens. 
Uitgangspunt zou moeten zijn dat het WvSv zowel de inzet als de uitoefening 
van opsporingsbevoegdheden normeert en de Wpg de omgang met per- 
soonsgegevens in algemenere zin. Meer concreet betekent dit het volgende. 

a) In het normeringskader zouden de belangrijkste normen en/of begin- 
selen op het gebied van gegevensverwerking een eigen plek moeten 
krijgen. 

b) Voor vormen van strafvorderlijke gegevensverwerking waarmee een 
meer dan beperkte inbreuk op de persoonlijke levenssfeer wordt ge- 
maakt, dient een expliciete wettelijke grondslag te worden gecreëerd 
in het WvSv met bijbehorende waarborgen. 

c) Bijzondere aandacht dient worden besteed aan het doen van onder- 
zoek aan gegevens die in bulk zijn vergaard. Daaraan dienen nadere 
waarborgen te worden verbonden in de vorm van een verzwaarde 
noodzakelijkheidtoets en een relevantietoets door analisten die niet bij 
het opsporingsonderzoek zijn betrokken. 

2. De wetgever dient de huidige wettelijke grondslagen (bijvoorbeeld art. 
126dd Sv; art. 9 lid 3 Wpg; art. 11 Wpg) voor doelafwijkend gebruik van in 
de opsporing verkregen gegevens te herzien. Hierbij dient in het bijzonder 


aandacht te worden besteed aan de vraag of de voorwaarden waaronder 
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doelafwijkend gebruik is toegestaan moeten worden verzwaard, opdat de 
proportionaliteit van dit doelafwijkende gebruik voldoende is geborgd. 

3. Het toezicht op de verwerking van gegevens binnen de opsporing moet 
worden versterkt. 

a) Er moet een Commissie van Toezicht komen die specifiek toeziet op 
gegevensbescherming bij het verwerken van gegevens ten behoeve 
van strafvordering. 

b) Deze Commissie van Toezicht moet ex durante en ex post toezicht kun- 
nen houden. Gelet op de aard van de activiteit kan niet worden vol- 
staan met een statische ex ante toetsing. De Commissie moet kunnen 
meekijken met de uitoefening van bevoegdheden door de politie en 
zo nodig verwerkingshandelingen kunnen stopzetten. 


Samenvatting 


De digitalisering van de maatschappij heeft de mogelijkheden tot het vergaren van 
gegevens door de opsporingsautoriteiten aanzienlijk vergroot. Illustratief zijn re- 
cente zaken waarin de autoriteiten toegang hebben gekregen tot miljoenen versleu- 
telde berichten van verschillende servers, zoals Ennetcom, EncroChat, Sky Global. 
Door inbeslagname van grote gegevensdragers of door het hacken van servers 
komt informatie steeds vaker in bulk bij de politie terecht. Deze bulkdatasets wor- 
den evenwel pas relevant wanneer de opsporingsautoriteiten deze gegevens ana- 
lyseren en in verband brengen met andere gegevens. Daarmee komt het zwaarte- 
punt van de door de overheid gemaakte inbreuk op de privacy van burgers naast 
vergaring, nadrukkelijk bij de verdere verwerking van die gegevens te liggen. Ook 
bestaat bij de opsporingsautoriteiten steeds meer behoefte om gegevens die reeds 
in politiesystemen zijn opgeslagen nader te onderzoeken met behulp van slimme 
Al-systemen met als doel daaraan nieuwe informatie te ontlenen. Deze ontwikke- 
lingen roepen vragen op wat betreft de nadere normering van het onderzoeken 
van (bulk)gegevens voor strafvorderlijke doeleinden. Het voorgaande vormt voor 
de wetgever aanleiding het vergaren en het verwerken van gegevens in de opsporing 
in samenhang nader te doen onderzoeken. De wetgever is voornemens de wette- 
lijke regeling inzake de bevoegdheden ter gegevensverwerking in het Wetboek van 
Strafvordering (WvSv) en de Wet politiegegevens (Wpg) te herschikken en waar 
nodig aan te passen. Met het doel bij te dragen aan het nader doordenken van de 
wijze van normeren van het onderzoek van gegevens voor strafvorderlijke doel- 


einden, stelt deze studie drie vragen centraal: 


1. Waar liggen de juridische knelpunten in het huidige wettelijke kader 
ter zake van het doen van onderzoek aan vergaarde (persoons)gege- 
vens voor strafvorderlijke doeleinden? 

2. Welke eisen en waarborgen stellen relevante Europeesrechtelijke 
rechtsbronnen aan de normering van het verwerken van (persoons)ge- 
gevens voor strafvorderlijke doeleinden? 

3. Welke voor deze normering relevante gezichtspunten kunnen worden 
ontleend aan de Wiv 2017 en het recht in België, Duitsland en Noorwe- 
gen? 
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Voor de beantwoording van de vragen is gebruik gemaakt van (primair juridisch) 


deskresearch dat is aangevuld door verdiepende interviews en een expertmeeting. 


Hoofdstuk 2 bevat een uiteenzetting van het huidige juridische kader dat het on- 
derzoek aan gegevens normeert. Dit kader is neergelegd in de Wpg en het WvSv. 
Ook wordt ingegaan op de plannen van de wetgever in het kader van de moder- 
nisering van het WvSv voor aanpassing van de wettelijke regeling. Bij deze uiteen- 
zetting zijn vier met elkaar samenhangende knel- of aandachtspunten geïdentifi- 
ceerd. 

Punt 1 betreft de wetssystematische keuze om de vergaring van gegevens 
vooral in het WvSv te regelen, terwijl de verwerking van gegevens in een gegevens- 
beschermingswet (thans Wpg) wordt geregeld. De wetgever is voornemens deze 
scheiding nadrukkelijk in het nieuwe WvSv door te trekken. Nadere reflectie op 
deze keuze of eerdere keuzes om bepaalde vormen van gegevensverwerking toch 
in het WvSv te regelen (bv. het huidige art. 126dd WvSv) heeft echter nauwelijks 
plaatsgevonden. De vraag is of beide activiteiten — het vergaren en het (verder) 
verwerken — zich wel goed laten scheiden en wat de mogelijke implicaties zijn van 
een dergelijke separate normering. Bovendien lijkt de verhouding tussen de Wpg 
en het WvSv niet altijd logisch, nu de Wpg ook veel voor de opsporing relevante 
normen bevat, terwijl deze wet primair is bedoeld om de omgang met gegevens te 
normeren — en dus niet de opsporing van strafbare feiten. 

Punt 2 betreft de vraag naar de normering van onderzoek aan bulkgege- 
vens die door verschillende (heimelijke) opsporingsbevoegdheden kunnen wor- 
den vergaard. Het vergaren van bulkgegevens ligt vanuit het oogpunt van het 
recht op privacy veel gevoeliger dan meer gerichte vormen van gegevensverga- 
ring. Recente zaken waarin bulkgegevens zijn vergaard, zoals Ennetcom, En- 
croChat, Sky Global, leiden tot discussie over de vraag hoe onderzoek aan bulkge- 
gevens mag worden uitgevoerd, nu wettelijke normering hieromtrent ontbreekt. 

Punt 3 betreft de vraag naar de invulling van het gegevensbeschermings- 
rechtelijke doelbindingsbeginsel en daarmee de reikwijdte van de mogelijkheden 
tot doelafwijkend gebruik van gegevens. De behoefte van de opsporingsautoritei- 
ten om reeds in de politiesystemen opgeslagen gegevens te combineren, te verrij- 
ken en met elkaar in verband te brengen, neemt de laatste jaren sterk toe. Niet al- 
leen omdat hiertoe steeds meer technologische mogelijkheden bestaan, ook omdat 
hiermee proactief — los van een concreet opsporingsonderzoek — een informatiepo- 
sitie kan worden opgebouwd. Bij dit soort gegevensverwerkingen worden gege- 
vens die voor bepaalde doelen zijn vergaard en opgeslagen, opnieuw gebruikt 


voor andere doelen zoals het opbouwen van een informatiepositie. Hoewel 
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doelafwijkend gebruik van gegevens onder omstandigheden toelaatbaar is, rijst de 
vraag hoe op een zinvolle wijze invulling kan worden gegeven aan het doelbin- 
dingsbeginsel en doelafwijkend gebruik, waarbij zowel recht wordt gedaan aan 
het waarborgkarakter van het beginsel alsook aan de werkbaarheid van de opspo- 
ring. 

Punt 4 betreft het toezicht op gegevensverwerking voor strafvorderlijke 
doeleinden, hetgeen onlosmakelijk met de normering is verbonden is. In theorie 
houden verschillende, zowel interne als externe toezichtsorganen (AP, gegevens- 
beschermingsfunctionaris, privacyfunctionaris, OM, strafrechter) toezicht op de 
verwerking van gegevens in de opsporing. Het huidige toezichthoudende kader 
kent evenwel tekortkomingen, onder meer vanwege de taakopvatting van som- 
mige toezichthouders alsmede verschillende capaciteitsoverwegingen. De vraag is 
hoe het toezichthoudende kader kan worden versterkt. 


Hoofdstuk 3 brengt de eisen en waarborgen met betrekking tot het normeren van 
gegevensverwerking op grond van een drietal relevante Europese rechtsbronnen 
in kaart: de EU Richtlijn 2016/680, artikel 8 Europees Verdrag voor de Rechten van 
de Mens (EVRM) en artikel 7 en 8 Handvest van de Grondrechten van de Europese 
Unie (HGEU) en de relevante jurisprudentie van het Europees Hof voor de Rechten 
van de Mens (EHRM) en het Hof van Justitie EU (HvJ EU). 


De Richtlijn 2016/680 regelt uitsluitend de verwerking van persoonsgegevens in 
het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van 
strafbare feiten, tenuitvoerlegging van straffen en bescherming tegen en voorko- 
ming van gevaren voor de openbare veiligheid. Het is gericht op minimumharmo- 
nisatie van de regelgeving in EU-lidstaten. Deze richtlijn formuleert een aantal be- 
langrijke beginselen en uitgangspunten voor de verwerking van persoonsgege- 
vens. De specifieke invulling van de beginselen laat de richtlijn aan lidstaten over; 
dit geldt ook voor het in dit onderzoek belangrijke doelbindingsbeginsel. Dit be- 
ginsel kent twee componenten: 1) doelspecificatie en 2) verenigbaar gebruik. Voor wat 
betreft de invulling van doelspecificatie moet ervan uit worden gegaan dat de doe- 
len waarop de richtlijn ziet (voorkoming, onderzoek, opsporing en vervolging van 
strafbare feiten, tenuitvoerlegging van straffen en bescherming van openbare vei- 
ligheid) onvoldoende specifiek zijn om als concrete verwerkingsdoeleinden te kun- 
nen dienen. Voor een zinvolle invulling van het doelbindingbeginsel alsmede de 
hieraan verwante beginselen van dataminimalisatie en opslagbeperking, moeten 
staten deze algemene doeleinden in nationale wetgeving nader specificeren. De 


Richtlijn is ook weinig helder over de rol van de verenigbaarheidstoets in artikel 4 
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lid 1 en de betekenis van een ‘ander doel’ in artikel 4 lid 2 Richtlijn 2016/680. In het 
licht van de ratio van het doelbindingsbeginsel — namelijk het bieden van vol- 
doende rechtszekerheid voor betrokkene en voorzienbaarheid van de wetgeving 
inzake gegevensverwerking — is verdedigbaar dat de verenigbaarheidstoets in ar- 
tikel 4 lid 2 Richtlijn 2016/680 moet worden ingelezen in de daarin vereiste propor- 
tionaliteitstoets. Van belang is voorts dat de Richtlijn lidstaten verplicht tot het tot 
stand brengen van een toezichthoudend kader voor de gegevensverwerking door 
strafvorderlijke autoriteiten. De randvoorwaarden die de Richtlijn 2016/680 voor 
de inrichting van dit kader stelt zijn: (1) het toezicht dient zowel op intern als extern 
niveau plaats te vinden; (2) het toezicht moet ‘onafhankelijk’ zijn; (3) de toezicht- 
houders moeten voldoende bevoegdheden hebben om te kunnen spreken van ‘ef- 
fectief’ toezicht. 

Het artikel 8 EVRM alsmede de artikelen 7 en 8 HGEU vormen een be- 
langrijk kader voor de invulling van het recht op privacy. Relevante jurisprudentie 
inzake artikel 8 EVRM leert dat verschillende verwerkingshandelingen, zoals de 
vergaring, opslag en verdere verwerking van gegevens — die op zichzelf of in com- 
binatie met andere gegevens iets over het privéleven kunnen zeggen — inbreuk ma- 
ken op het recht op privacy. Deze inbreuken moeten daarom van een wettelijke 
basis worden voorzien met voldoende waarborgen tegen misbruik. Cruciale waar- 
borgen zijn het specificeren van een doel en doelbinding, opslagbeperkingen, da- 
taminimalisatie (irrelevante gegevens moeten zo snel mogelijk worden verwij- 
derd) en effectief (rechterlijk) toezicht. Jurisprudentie van het EHRM waarin spe- 
cifiek de vergaring en verwerking van bulkgegevens werd getoetst, laat voorts zien 
dat het EHRM niet afwijzend staat tegenover ongerichte bulkgegevensverwerking 
in het belang van de nationale veiligheid of de bestrijding van zeer ernstige crimi- 
naliteit. Het EHRM onderscheidt in het proces van bulkgegevensverwerking ver- 
schillende stappen — van vergaring naar (verdere) verwerking — maar beschouwt 
de gegevensverwerking niettemin als één proces. Dit gehele proces moet met vol- 
doende waarborgen zijn omgeven. Nationale wetgeving moet onder meer om- 
schrijven op basis van welke gronden en onder welke omstandigheden bulkinter- 
ceptie is toegestaan; hoe het proces van selectie, analyse en gebruik vorm krijgt; 
wat de beperkingen en duur van de interceptie zijn en onder welke omstandighe- 
den de gegevens moeten worden vernietigd. Voorts moet duidelijk zijn wie be- 
voegd is tot het verlenen van autorisatie en moet er zowel voorafgaand, tijdens als 
achteraf toezicht bestaan. 

Het HvJ EU benadert het privacybegrip op een vergelijkbare manier als 
het EHRM en beoordeelt de vraag of inbreuk is gemaakt op privacy niet alleen aan 


de hand van de aard van de gegevens, maar aan de hand van wat gegevens in 
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combinatie over het privéleven kunnen prijsgeven. Het HvJ EU laat (vooralsnog) 
geen ruimte om de normering van de opslagfase afhankelijk te stellen van de nor- 
mering van de toegang tot (en het latere gebruik van) gegevens — of vice versa. 
Minder strenge normering van één fase kan dus niet worden gecompenseerd door 
strengere normering van de andere fase. Met betrekking tot het verlenen van toe- 
gang door overheidsinstanties tot de bij de telecommunicatiediensten bewaarde 
verkeers- en locatiegegevens (niet zijnde slechts identificerende gegevens) stelt het 
HvJ EU een vijftal eisen, die zien op doelbinding, de kring van personen, vooraf- 
gaand onafhankelijke rechterlijke of bestuurlijk toetsing; notificatieverplichting, en 


beveiliging en bescherming van gegevens. 


Hoofdstuk 4 bevat een interne rechtsvergelijking met de Wiv 2017. De context 
waarin de diensten werken, is weliswaar anders, maar in het kader van de Wiv 
2017 spelen op het gebied van de normering van gegevensverwerking in het alge- 
meen, en bulkgegevens in bijzonder, deels vergelijkbare vragen en problemen als 
in strafvordering. Voorts kent de Wiv 2017 een uitgebreid toezichthoudend kader 
dat voor strafvordering als inspiratie kan dienen. 

Uit dit hoofdstuk komt allereerst naar voren dat gegevensverwerking bin- 
nen de Wiv 2017 is genormeerd aan de hand van een aantal algemene beginselen 
zoals het noodzakelijkheidsbeginsel, het doelbindingsbeginsel en de relevantie- 
toets. Deze beginselen zijn van toepassing ongeacht de wijze waarop de gegevens 
zijn verkregen. Een belangrijk voordeel hiervan is dat de normering van gegevens- 
verwerking niet specifiek is gekoppeld aan een of enkele specifieke bevoegdheden 
en deze algemene beginselen voor verschillende gevallen een normerend kader 
bieden. Daarbij gelden voor de inzet van bijzondere bevoegdheden nog wel aan- 
vullende waarborgen. Voor de bevoegdheid tot bulkinterceptie via artikel 48 Wiv 
2017 geldt een speciaal normeringsregime. Het is probleem is echter dat bulkgege- 
vens ook met andere bevoegdheden kunnen worden vergaard. In dat geval zijn de 
aanvullende waarborgen die gelden voor de verdere verwerking niet van toepas- 
sing. Ervaringen met de Wiv leren dat het verstandig is om de normering van ge- 
gevensverwerking niet uitsluitend afhankelijk te maken van de specifieke wijze 
waarop gegevens zijn vergaard, maar de normering aan te passen aan de hande- 
lingen of activiteiten die met de gegevens worden verricht. 

Voorts biedt de Wiv 2017 inspiratie voor het ontwikkelen van waarborgen 
inzake de verwerking van bulkgegevens. Zo wordt bij de verwerking van bulkge- 
gevens in de Wiv 2017 veel waarde toegekend aan een relevantietoets met functie- 
scheiding. Dit houdt in dat na de vergaring van bulkgegevens eerst door andere 
personen dan die daadwerkelijk inlichtingen inwinnen, wordt beoordeeld welke 
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gegevens al dan niet relevant zijn. Zo kan de proportionaliteit van onderzoek aan 
bulkgegevens worden geborgd. 

Tot slot levert het perspectief van de Wiv 2017 belangrijke inzichten voor 
de inrichting van het toezicht. Weliswaar is de discussie over de inrichting van het 
toezicht binnen de Wiv 2017 in volle gang, duidelijk is wel dat de aard van het 
toezicht niet los kan worden gezien van het soort bevoegdheid dat wordt ingezet. 
Voortbordurend hierop wordt duidelijk dat het dynamische proces van gegevens- 
verwerking voor onderzoeksdoeleinden zich minder goed laat vangen in harde re- 
gels en een statische ex ante toetsing. Met dit aspect dient tevens rekening te wor- 
den gehouden in het kader van strafvordering. 


Hoofdstuk 5 bevat een blik over de grens en kent daarmee een extern rechtsverge- 
lijkend perspectief. In dit hoofdstuk is verkend op welke punten de wettelijke ka- 
ders voor gegevensverwerking voor strafvorderlijke doeleinden in drie naburige- 
landen (België, Duitsland en Noorwegen) inspiratie kunnen bieden voor Neder- 
land met betrekking tot de normering van gegevensverwerking voor strafvorder- 
lijke doeleinden. 

Ten eerste laat de blik over de grens zien dat het zinvol kan zijn onder- 
scheid te maken tussen normering van opsporingsactiviteiten in het WvSv, waar- 
onder zowel de vergaring als verwerking van gegevens wordt verstaan, en de nor- 
mering van de verdere omgang met deze gegevens. Duidelijker dan in Nederland, 
wordt dit onderscheid bijvoorbeeld in Duitsland gemaakt. Daar is ervoor gekozen 
om een algemene regeling inzake de verwerking van gegevens door zowel de rech- 
terlijke macht als het openbaar ministerie in StPO op te nemen. Daarnaast bevat 
StPO een aantal op verschillende bijzondere opsporingsbevoegdheden toege- 
spitste regels inzake het gebruik van gegevens, terwijl het Duitse recht ook in meer 
algemene kaderwetten terzake van gegevensbescherming kent waarop kan wor- 
den teruggevallen als StPO niets regelt. 

Ten tweede regelen landen elk op verschillende manieren de invulling 
van het doelbindingsbeginsel en daarmee de mogelijkheden tot doelafwijkend ge- 
bruik. Duitsland kent op het gebied van doelbinding een uitgebreide doctrine. Elke 
verdere verwerking van gegevens (waaronder ook doelafwijkend gebruik) dient 
daar op een wettelijke grondslag te berusten. In het algemeen geldt dat gegevens 
die met voor de persoonlijk levenssfeer ingrijpende bevoegdheden zijn verkregen, 
alleen voor vergelijkbare andere doelen kunnen worden verwerkt. Vanuit het per- 
spectief van bescherming van het privéleven kan deze regeling positief worden 
gewaardeerd. Het nadeel van de regeling is dat het tamelijk complex is. In Noor- 
wegen is daarentegen gekozen om doelafwijking in beginsel toe te staan, tenzij de 
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wet dat expliciet beperkt. Deze beperking geldt in beginsel voor de verwerking van 
gegevens die met opsporingsbevoegdheden in concrete onderzoeken zijn verkre- 
gen. Doelafwijkend gebruik van deze gegevens, bijvoorbeeld voor preventieve 
doeleinden, is slechts toegestaan op grond van in de wet geregelde gevallen die 
zien op specifieke categorieën personen of op grond van toestemming van betrok- 
kene. 

Ten derde toont de analyse van de rechtspraktijk in de drie landen dat 
toezicht niet vanzelfsprekend hoeft te worden neergelegd bij een gegevensbescher- 
mingsautoriteit die tevens op de naleving van de AVG toeziet. België kent bijvoor- 
beeld een toezichthouder die zich specifiek bezighoudt met toezicht op gegevens- 
verwerking door de politie. Noorwegen kent een toezichtscommissie die naleving 
van de uitoefening van enkele bijzondere opsporingsbevoegdheden controleert. 
Het voordeel van zo’n commissie is dat op structurele basis toezicht wordt gehou- 
den op de toepassing van bijzondere opsporingsbevoegdheden waarbij specifiek 
rekening kan worden gehouden met enerzijds de belangen van gegevensbescher- 
ming en anderzijds de belangen van criminaliteitsbestrijding. 


Hoofdstuk 6 brengt de inzichten uit voorgaande hoofdstukken met elkaar in ver- 
band. Het bevat een reflectie op de systematiek en de inhoud van de normering van 
onderzoek van gegevens voor strafvorderlijke doeleinden, mede aan de hand van 
de in hoofdstuk 2 gesignaleerde aandachtspunten. 

Voor wat betreft de systematiek geldt dat de verhouding tussen het WvSv 
en de Wpg niet kan worden vormgegeven aan de hand van de verwerkingshande- 
ling — vergaren of verwerken — die wordt verricht. Om te bepalen in welke wet 
welk onderwerp thuishoort, is het doel en de context waarin de verwerkingsacti- 
viteit wordt verricht van belang. Uitgangspunt zou volgens ons moeten zijn dat 
verwerkingshandelingen die zijn gericht op kennisvermeerdering én een strafvor- 
derlijk doel dienen in het WvSv worden genormeerd. Dit uitgangspunt is nog on- 
voldoende te herkennen in het gemoderniseerde WvSv. Dat geldt in het bijzonder 
voor bevoegdheden waarmee onderzoekshandelingen kunnen worden verricht 
ten aanzien van computergegevens, ofwel digitale opsporingsbevoegdheden. In 
het gemoderniseerde WvSv is voornamelijk aandacht besteed aan de normering 
van de inzet van digitale opsporingsbevoegdheden door voor te schrijven in welke 
gevallen, voor welke doelen en met toestemming van welke autoriteit gegevens 
mogen worden vergaard. De uitoefening van deze opsporingsbevoegdheden waar- 
bij veelal gegevens (verder) worden verwerkt is onderbelicht gebleven. Met het 
oog daarop verdient het aanbeveling sommige onderwerpen die thans in de Wpg 
zijn ondergebracht in het WvSv te regelen. 
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De inhoud van de normering kan op vier onderdelen worden verbeterd. 

Ten eerste zou de wetgever in het WvSv in een algemene titel een norme- 
ringskader moeten ontwikkelen dat van toepassing is op het verwerken van gege- 
vens tijdens de uitoefening van digitale opsporingsbevoegdheden. Een belangrijk 
voordeel van één normeringskader is dat het niet slechts van toepassing is op één 
of enkele specifieke bevoegdheden, maar in het algemeen gelding heeft. In dit nor- 
meringskader zouden de belangrijkste normen op het gebied van gegevensverwer- 
king een plek moeten krijgen. Zo zou in deze titel minstens tot uitdrukking moeten 
worden gebracht dat voorafgaand aan het uitvoeren van gegevensonderzoek het 
doel van dat onderzoek moet worden vastgelegd; dat gegevens die niet relevant 
zijn voor dit doel moeten worden verwijderd c.q. ontoegankelijk moeten worden 
gemaakt; in welke gevallen en met inachtneming van welke waarborgen gegevens 
voor een ander doel dan het doel van vergaring kunnen worden gebruikt; alsmede 
dat alle handelingen die in het kader van dit onderzoek worden verricht, moeten 
worden gelogd. 

Ten tweede dient de wetgever, naast een algemene titel waarin de belang- 
rijkste normen inzake gegevensverwerking worden neergelegd, ook een specifiek 
normatief kader te creëren voor het strafvorderlijk onderzoek aan bulkgegevens. 
In het huidige noch in het gemoderniseerde WvSv wordt dit onderzoek expliciet 
genormeerd. Hierdoor ontstaat al snel spanning met het recht op privacy als be- 
doeld in artikel 8 EVRM en artikel 7 HGEU. Uit dit recht vloeit immers voort dat 
het gehele proces van bulkgegevensverwerking moet worden genormeerd. In dit 
verband verdient aanbeveling dat de wetgever nadenkt over nieuwe waarborgen, 
bijvoorbeeld een verzwaarde noodzakelijkheidstoets en een bewaartermijn in com- 
binatie met verplichte functiescheiding. 

Ten derde verdienen de bepalingen die doelafwijkend gebruik van in de 
opsporing verkregen gegevens mogelijk maken nadere doordenking. Daarbij gaat 
het in elk geval om artikel 126dd Sv, artikel 9 lid 3 Wpg en artikel 11 Wpg. Deze 
bepalingen maken het mogelijk gegevens die met opsporingsbevoegdheden zijn 
verkregen voor andere doelen te verwerken dan het doel waarvoor de bevoegd- 
heid is ingezet. Zo kunnen gegevens die zijn verwerkt voor de opsporing van een 
strafbaar feit bijvoorbeeld worden gebruikt voor een ander doel zoals het opbou- 
wen van een informatiepositie. Hoewel het Europese recht het gebruik van gege- 
vens voor andere doelen dan waarvoor ze zijn verkregen niet verbiedt, stelt het 
hieraan wel beperkingen. Doelafwijkend gebruik dient immers noodzakelijk en 
proportioneel te zijn. Niet in alle bepalingen die doelafwijkend gebruik mogelijk 
maken, lijkt de proportionaliteit voldoende te zijn geborgd. 
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Ten vierde dient het toezicht op het verwerken van gegevens voor strafvorderlijke 
doeleinden te worden versterkt door het oprichten van een commissie van toezicht 
op de politiediensten en het OM. Hoewel verschillende actoren reeds toezicht hou- 
den op gegevensverwerking voor strafvorderlijke doeleinden, verdient het oprich- 
ten van een nieuw orgaan dat toezicht kan houden op de verwerking van gegevens 
door de politie en het OM (vergelijkbaar met de CTIVD die de AIVD en de MIVD 
controleert) om verschillende redenen aanbeveling. Allereerst wordt hiermee beter 
tegemoetgekomen aan de eisen die vanuit het Europese recht worden gesteld. Zo- 
wel uit de richtlijn 2016/680 als de jurisprudentie van het EHRM en het HvJ EU 
volgt de eis van effectief toezicht. Dat geldt in het bijzonder als gegevensverwer- 
king heimelijk plaatsvindt, hetgeen in opsporing doorgaans het geval is. Verder 
kan een specialistische toezichthouder een belangrijke rol vervullen op het gebied 
van normprecisering. Tot slot kan een nieuw op te richten toezichtsorgaan voor 
een breder publiek inzichtelijk maken welke nieuwe vragen en dilemma’s zich in 
het veranderend domein opsporing voordoen, zodat hierover ook maatschappelijk 
en politiek debat kan plaatsvinden. 


Summary 


The digitization of society has significantly increased the possibilities for collecting 
data by the law enforcement authorities. This is illustrated by recent cases in which 
the authorities obtained access to millions of encrypted messages on various serv- 
ers, such as Ennetcom, EncroChat and Sky Global. Through the seizure of huge 
data carriers or by hacking into servers, information in bulk increasingly often ends 
up in the hands of the police. However, these bulk datasets only become relevant 
if the investigation authorities analyse these data and manage to connect them with 
other data. This means that the severity of the government’s interference with citi- 
zens’ privacy, apart from the actual collection of the data, becomes explicitly tied 
in with the subsequent processing of those data. There is also a growing need 
among investigation authorities for further analysis of data already stored in police 
systems by using smart Al systems with a view to gleaning new information. These 
developments raise questions about further regulation of analysing (bulk) data for 
criminal procedure purposes.” The foregoing impels the Dutch legislator to com- 
mission further research into collecting and processing data in criminal investiga- 
tions and the way in which these are interconnected. The legislator intends to recast 
and, where necessary, amend the statutory provisions regarding the powers of 
data processing as laid down in the Dutch Code of Criminal Procedure (CCP) and 
the Dutch Police Data Act (DPDA). Aiming to make a contribution to the rethink- 
ing of the way in which the processing of data for the sake of criminal procedure 
purposes needs to be regulated, we pose three key questions in this study: 


1. Where are the legal bottlenecks in the current legal framework with regard 
to examining data collected for criminal procedure purposes? 

2. Which requirements and safeguards do the relevant European law sources 
set for the regulation of the processing of data for the benefit of criminal 
procedure purposes? 

3. Which of the points of view that are relevant to this regulation are derived 
from the Dutch Intelligence and Security Services Act 2017 (ISS Act 2017) 
and the law in a few nearby countries (Belgium, Germany and Norway)? 


540 In this study we focus on the processing of data for the detection and investigation of 
criminal acts by the police. The detection and investigation of criminal acts include the 
collection of evidence and the so-called law enforcement intelligence. 
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To answer these questions, (primarily legal) desk research was used, which was sup- 
plemented by in-depth interviews and an expert meeting. 


Chapter 2 contains an explanation of the current Dutch legal framework which 
regulates the use of data for criminal procedure purposes. This framework was laid 
down in the DPDA and the CCP. It also discusses the plans of the legislator with 
regard to modernizing the CCP for amending the statutory provisions. Four inter- 
connected bottlenecks have been identified in this explanation. 

Point 1 relates to the legal systemic choice to lay down the collection of 
data primarily in the CCP, whereas the processing of data was laid down in a data 
protection act (currently the DPDA). The legislator intends to continue this separa- 
tion emphatically in the new CCP. However, there has been hardly any further 
reflection on this choice or previous choices to lay down certain forms of data pro- 
cessing in the CCP after all (for example the current article 126dd CCP). The ques- 
tion is whether both activities — collecting and (further) processing — can be sepa- 
rated properly and what the possible implications are of such separate regulation. 
Furthermore, the relation between the DPDA and the CCP does not always seem 
to be logical, because the DPDA also contains standards relevant to investigations, 
whereas this Act is primarily intended to regulate the handling of data — instead of 
the investigation of criminal offences. 

Point 2 concerns the demand for regulation of examination of bulk data 
which can be collected using various (secret) investigative powers. Collecting bulk 
data is a much more sensitive matter from the perspective of the right to privacy 
than more targeted forms of data collection. Recent cases in which bulk data were 
collected, such as those involving Ennetcom, EncroChat and Sky Global, lead to 
discussions about the question how examination of bulk data is allowed to be con- 
ducted, in the absence of statutory regulation about this. 

Point 3 is to do with the question of purpose limitation with regard to 
data protection laws and by extension the scope of the possibilities to use data for 
different purposes. Over the past few years, there has been a sharp increase in the 
need of the investigation authorities to combine, enrich and correlate data already 
stored in police systems. This is not only because there are more and more techno- 
logical tools to do so, but also because it enables the authorities proactively — apart 
from a specific criminal investigation — to create useful intelligence. With this type 
of data processing, data which were collected and stored for certain purposes, are 
re-used for different purposes such as building an information position. Although 
the use of data for different purposes is permissible under certain circumstances, 
the question arises how the principle of purpose limitation and the use of data for 
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different purpose(s) can be reconciled in a meaningful way, so that the principle’s 
rational as a safeguard is honoured while taking into account the efficacy of the 
investigation. 

Point 4 concerns the monitoring of data processing for criminal procedure 
purposes, which is inextricably linked to the regulation of the processing of data. 
In theory, various supervisory authorities (both internal and external) such as the 
Dutch Data Protection Authority (DPA), the data protection official, chief privacy 
officer, the Dutch Public Prosecution Office, and the criminal court, monitor the 
processing of data during a criminal investigation. The present supervisory frame- 
work has a number of shortcomings though, among other things because of the 
way some supervisors interpret their mandate and also because of the capacity for 
supervision. The question is how the supervisory framework can be strengthened. 


Chapter 3 maps the requirements and safeguards with regard to the regulation of 
data processing on the basis of three relevant European legal sources: the EU Di- 
rective 2016/680, Article 8 of the European Convention on Human Rights (ECHR) 
as well as Articles 7 and 8 of the Charter of Fundamental Rights of the European 
Union (CFREU) and the relevant case law of the European Court of Human Rights 
(ECtHR) and the European Court of Justice (CJEU). 

The Directive 2016/680 only deals with the processing of personal data in 
the context of the prevention, investigation, detection and prosecution of criminal 
offences, execution of criminal penalties and safeguarding against and the preven- 
tion of threats to public security. It is aimed at minimum harmonization of regula- 
tions in EU member states. This Directive contains a number of important princi- 
ples and starting points for the processing of personal data. The specific way in 
which the principles are put into practice is left to the member states; this also ap- 
plies to the principle of purpose limitation, which is important to this study. This 
principle has two components: 1) purpose specification and 2) compatible use. As far 
as the exact nature of the purpose specification is concerned, it must be assumed 
that the purposes that the Directive relates to (prevention, investigation, detection 
and prosecution of criminal offences, the execution of criminal penalties and the 
protection of public safety) are insufficiently specific to be used as concrete pro- 
cessing purposes. For a meaningful specification of the principle of purpose limi- 
tation as well as the associated principles of data minimization and storage limita- 
tion, member states must specify these general purposes in more detail in their own 
national legislation. The Directive is not particularly clear either about the role of 
the compatibility test in Article 4 paragraph 1 and the meaning of an ‘other pur- 
pose’ in Article 4 paragraph 2 of Directive 2016/680. In the light of the rational of 
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the purpose limitation principle — i.e., offering adequate legal certainty for the data 
subject and foreseeability of the legislation — one can argue that the compatibility 
check should be made part of the proportionality test in Article 4 paragraph 2 of 
Directive 2016/680. It is also important that the Directive requires member states to 
bring about a supervisory framework for data processing by criminal proceedings 
authorities. The prerequisites set out by the Directive 2016/680 for the creation of 
this framework are as follows: (1) supervision must take place at both an internal 
and an external level; (2) supervision must be ‘independent’; (3) supervisors must 
have sufficient powers for the supervision to be called ‘effective’. 

Article 8 ECHR as well as Articles 7 and 8 CFREU constitute an important 
framework for defining the particulars of the right to privacy. Relevant case law 
regarding Article 8 ECHR shows that various processing operations, such as the 
collection, storage and further processing of data — which on their own or in com- 
bination with other data may reveal information about someone’s private life — in- 
terfere with the right to privacy. These interferences must therefore be given a legal 
basis with sufficient safeguards to prevent abuse. Crucial safeguards are the spec- 
ification of a purpose and purpose limitation, storage limitations, data minimiza- 
tion (irrelevant details must be deleted as soon as possible) and effective (judicial) 
supervision. Case law of the ECtHR in which the collection and processing of bulk 
data was specifically scrutinized also shows that the ECtHR is not opposed to un- 
targeted processing of bulk data in the interest of national security or the fight 
against very serious crime. The ECtHR distinguishes between various steps in the 
processing of bulk data — from collection to (further) processing — yet it treats data 
processing as one process. The entire process must be surrounded by sufficient 
safeguards. Among other things, national legislation must describe on which 
grounds and under which circumstances wholesale interception of data is permit- 
ted; how the process of selection, analysis and use takes shape; what are the limits 
and the duration of the interception and under which circumstances must the data 
be destroyed. Additionally, it must be clear who has the power to grant authoriza- 
tion and there will have to be supervision before, during and after the process from 
interception to processing of data. 

The CJEU approaches the concept of privacy in a way similar to that of 
the ECtHR and it looks at the question of whether there has been an interference 
with privacy not merely on the basis of the nature of the data but also on the basis 
of what data may reveal about someone’s private life when combined. For the time 
being, the CJEU does not leave any room to make regulation of the data retention 
phase dependent on the regulation of access to (and later use of) data — or vice 
versa. A less rigorous regulation of one phase can therefore not be compensated by 
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more rigorous regulation of the other phase. As regards the granting of access by 
government bodies for criminal procedure purposes to traffic and location data 
(which are not merely identifying data) stored by telecommunication services, the 
CJEU applies a set of five requirements, relating to purpose limitation, the circle of 
people, previous independent judicial or administrative review; an obligation of 


notification, and security and protection of data. 


Chapter 4 contains an internal comparison with the ISS Act 2017. Admittedly, the 
context in which the services operate is different, but within the framework of the 
ISS Act 2017, the questions and problems presenting themselves there in the area 
of regulation of data processing in general and bulk data in particular are to some 
extent similar to those in criminal investigations. Furthermore, the ISS Act 2017 
features an elaborate supervisory framework that can serve as a model for criminal 
procedure. 

What becomes clear in this chapter is first and foremost that data pro- 
cessing within the ISS Act 2017 has been regulated on the basis of a number of 
general principles, such as the necessity principle, the principle of purpose limita- 
tion and the relevance test. These principles apply irrespective of the manner in 
which the data were collected. An important advantage of this is that the regulation 
of data processing is not specifically linked to one power or some specific powers 
and these general principles provide a regulatory framework for various cases. 
Nevertheless, additional safeguards apply for the deployment of special powers. 
With regard to the power of bulk interception based on article 48 the ISS Act 2017, 
a special regulation regime applies. The problem, though, is that bulk data can also 
be collected using other powers. In that case, the additional safeguards that are 
relied on for further processing do not apply. Experience with the ISS Act 2017 
shows that it is a good idea not to make the regulation of data processing solely 
dependent on the specific manner in which data have been collected, but to adapt 
regulation to the operations or activities carried out with the data. 

Furthermore, the ISS Act 2017 provides inspiration for the development 
of safeguards with respect to the processing of bulk data. For example, the ISS Act 
2017 sets great store by a relevance check with segregation of functions in the pro- 
cessing of bulk data. This means that after the collection of bulk data, persons other 
than those who actually garnered the data first assess which data are relevant and 
which are not. This ensures the proportionality of examination of bulk data. 

Finally, the perspective of the ISS Act 2017 offers important insights in the 
way supervision may be set up. While it is true that the discussion about the set- 
up of supervision within the ISS Act 2017 is well under way, it is clear that the 
nature of the supervision cannot be isolated from the type of power deployed. 
Building on this, it becomes clear that the dynamic process of data processing for 
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investigative purposes does not lend itself so well to being captured in hard and 
fast rules and to a static ex ante test. This aspect must also be taken into account in 
the context of criminal procedure. 


Chapter 5 offers a view across the border for an external comparative perspective. 
This chapter is an exploration of the areas in which the legal frameworks for data 
processing for criminal procedure purposes in three nearby countries (Belgium, 
Germany and Norway) may offer inspiration to the Netherlands in respect of the 
regulation of data processing in criminal investigations. 

First of all, peering across the border reveals that it may be useful to dis- 
tinguish between regulation of investigation activities in the CCP, which is meant 
to be understood as both collecting and processing of data, and the regulation of 
further handling of these data. This distinction is made more clearly in Germany 
for example than in the Netherlands. The authorities there opted for a general reg- 
ulation regarding the processing of data, by including both the judiciary and the 
public prosecution department in StPO (the German Code of Criminal Proce- 
dures). Additionally, StPO contains a few rules aimed at various special investiga- 
tive powers regarding the use of data, while German law also provides more ge- 
neric framework laws in respect of data protection that can be resorted to in case 
StPO offers no succour. 

Secondly, each country has its own way of implementing the purpose lim- 
itation principle and consequently the possibilities for uses that deviate from this 
principle. Germany has an extensive doctrine on the subject of purpose limitation. 
Every subsequent processing of data (including for (a) different purpose(s)) must 
have a legal ground there. In general, data that have been obtained using powers 
that interfere with a person's privacy can only be processed for similar other pur- 
poses. From the perspective of protecting an individual's privacy, this arrangement 
can be considered positive. However, the drawback of this arrangement is that is 
fairly complex. In Norway, on the other hand, it was decided to permit deviation 
from the original purpose(s) in principle, unless expressly prohibited by law. This 
restriction applies in principle to the processing of data that have been obtained 
with investigative powers in concrete investigations. Any use of these data for 
other purposes, for example for prevention purposes, is only permitted on the basis 
of cases set out in law which relate to specific categories of persons or on the basis 
of permission of the data subject involved. 

Thirdly, the analysis of legal practice in the three countries shows that su- 
pervision does not necessarily need to be entrusted with a data protection author- 
ity that also supervises compliance with the General Data Protection Regulation 
(GDPR). Belgium for example has a supervisor that specifically concerns itself with 
the supervision of data processing by the police. Norway has a supervisory com- 
mittee that checks compliance with respect to the exercise of certain special 
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investigative powers. The advantage of such a committee is that supervision of the 
deployment of special investigative powers occurs on a structural basis, where the 
interests of data protection on the one hand and the interests of law enforcement 
on the other hand can specifically be taken into account. 


Chapter 6 synthesizes the insights gained in the previous chapters. It contains a 
reflection on the system and the content of the regulation of the examination of data 
for criminal procedure purposes, partly on the basis of the items of interest high- 
lighted in Chapter 2. 

As far as the system is concerned, the relation between the CCP and the 
DPDA cannot be shaped based on the processing operation — collecting or pro- 
cessing of data — that is carried out. The purpose and the context in which the pro- 
cessing operation takes place play an important part in determining which pro- 
cessing operation belongs to which Act. We argue that the starting point should be 
that the processing of data that is deployed for criminal procedure purposes and is 
exercised with the aim of gaining new information (for specific criminal investiga- 
tions as well as for building intelligence) should be regulated in the CCP. As yet, 
this starting point is not sufficiently prominent in the modernized CCP. This ap- 
plies in particular to powers with which investigations can be carried out with re- 
gard to computer data, in other words digital investigative powers. The main focus 
in the modernized CCP has been on regulating the deployment of digital investiga- 
tive powers by prescribing in which cases, for which purposes and with the ap- 
proval of which authorities data are allowed to be collected. The exercise of these 
investigative powers through which mostly data are processed (further) has re- 
ceived too little attention. In view of this, it is recommended that certain areas that 
are currently covered by the DPDA be regulated in the CCP. 

The content of the regulation can be improved in four areas. 

Firstly, the legislator would have to develop a regulatory framework in 
the CCP in a general title that applies to the processing of data during the exercise 
of digital investigative powers. An important advantage of having one regulatory 
framework is that it does not apply merely to one investigatory power or a few 
specific powers, but is applicable generally. The most important standards with 
regard to data processing would have to be incorporated in this regulatory frame- 
work. This title would need to express the notion that prior to an examination of 
data, the purpose of that examination must be established; that data which are not 
relevant for that purpose must be deleted and/or made inaccessible; in which cases 
and with due consideration for the question which safeguards data can be used for 
a purpose other than the purpose of collection; and that all operations carried out 
in the context of that examination must be registered. 

Secondly, in addition to a general title in which the most important stand- 
ards regarding data processing have been laid down, the legislator must also create 
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a specific normative framework for the examination of bulk data for criminal pro- 
cedure purposes. This type of examination has not been regulated explicitly in ei- 
ther the present or the modernized CCP. This will soon interfere with the right to 
privacy as referred to in Article 8 ECHR and Article 7 CFREU. After all, it follows 
from this right that the entire process of bulk data processing must be regulated. 
In this context, it is to be recommended that the legislator reflects on new safe- 
guards, for example a beefed-up necessity test and a retention period in combina- 
tion with mandatory segregation of functions. 

Thirdly, the provisions allowing the data obtained in the investigation to 
be used for entirely different purposes deserve to be thought in further detail. This 
concerns at any rate Article 126dd CCP, Article 9 paragraph 3 DPDA and Article 
11 DPDA. These provisions make it possible for data obtained thanks to investiga- 
tive powers to be processed for purposes other than the one for which the power 
was exercised. For example, data processed for the investigation of a criminal of- 
fence can be used for another purpose such as building an information position. 
Although European law does not prohibit the use of data for purposes other than 
for which they were obtained, it certainly imposes restrictions on this. After all, any 
use of data for different purposes has to be necessary and proportional. It would 
appear that the proportionality principle is not sufficiently guaranteed in all the 
provisions permitting the use of data for different purposes. 

Fourthly, the supervision of processing data for criminal investigation 
purposes will have to be tightened by the creation of a committee supervising the 
police forces and the Public Prosecution Office. Although various actors already 
supervise the processing of data for criminal procedure purposes, it is recom- 
mended for a variety of reasons that a new body is created to monitor the pro- 
cessing of data by the police and the public prosecution department (comparable 
with the Dutch CTIVD (Committee for the Supervision of the Intelligence and Se- 
curity Services) which monitors the AIVD, i,e., the General Intelligence and Secu- 
rity Service, and the MIVD, i.e., the Military Intelligence and Security Service). First 
of all, this better meets the requirements set by European law. The requirement of 
effective supervision ensues from both EU Directive 2016/680 and the case law of 
the ECtHR and the CJEU. This applies particularly if the processing of data is car- 
ried out covertly, which tends to be the case in criminal proceedings. Furthermore, 
a specialist supervisor may play an important role in improving the definition of 
standards. Finally, a new supervisory body to be established can furnish a wider 
public with insights into which new questions and dilemmas present themselves 
in the ever-changing domain of criminal investigations, thereby enabling a broader 
social and political debate about these matters. 
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